DB2數(shù)據(jù)庫安全配置基線

DB2數(shù)據(jù)庫系統(tǒng)安全配置基線中國移動(dòng)通信有限公司管理信息系統(tǒng)部2012年04月

版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2012年4月備注：.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 4\o"CurrentDocument"適用范圍 4\o"CurrentDocument"適用版本 4\o"CurrentDocument"實(shí)施 4\o"CurrentDocument"例外條款 4\o"CurrentDocument"第2章帳號(hào)與口令 5\o"CurrentDocument"帳號(hào) 5\o"CurrentDocument"刪除不必要的帳號(hào) 5\o"CurrentDocument"分配數(shù)據(jù)庫用戶所需的最小權(quán)限 5\o"CurrentDocument"口令 6\o"CurrentDocument"DB2用戶□令安全 6\o"CurrentDocument"第3章數(shù)據(jù)庫權(quán)限 7\o"CurrentDocument"從PUBLIC撤銷隱式的權(quán)限和特權(quán) 7從PUBLIC撤銷隱式的權(quán)限和特權(quán) 7跟蹤隱式的特權(quán) 9跟蹤隱式的特權(quán) 9檢查用戶許可和特權(quán) 9檢查用戶許可和特極 9\o"CurrentDocument"第4章 DB2認(rèn)證 11\o"CurrentDocument"為SYSxxx_GROUP參數(shù)使用顯式值 11\o"CurrentDocument"為SYSxxx_GROUP參數(shù)使用顯式值 11\o"CurrentDocument"使用加密的AUTHENTICATION模式 11\o"CurrentDocument"使用加密的AUTHENTICATION模式 11\o"CurrentDocument"第5章 DB2審計(jì) 13\o"CurrentDocument"執(zhí)行隨機(jī)安全審計(jì) 13執(zhí)行隨機(jī)安全審評(píng) 13\o"CurrentDocument"第6章評(píng)審與修訂 14第1章概述本文檔規(guī)定了中國移動(dòng)管理信息系統(tǒng)部所維護(hù)管理的DB2數(shù)據(jù)庫系統(tǒng)應(yīng)當(dāng)遵循的數(shù)據(jù)庫安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行DB2數(shù)據(jù)庫系統(tǒng)的安全合規(guī)性檢查和配置。1.1適用范本配置標(biāo)準(zhǔn)的使用者包括：數(shù)據(jù)庫管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動(dòng)總部和各省公司信息化部門維護(hù)管理的DB2數(shù)據(jù)庫系統(tǒng)。適用版本DB2數(shù)據(jù)庫系統(tǒng)。實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書面申請(qǐng)文件，說明業(yè)務(wù)需求和原因，送交中國移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。第2章帳號(hào)與口令帳號(hào)刪除不必要的帳號(hào)*安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)DB2用戶安全基線要求項(xiàng)安全基線SBL-DB2-02-01-01安全基線項(xiàng)說明應(yīng)刪除與數(shù)據(jù)庫運(yùn)行、維護(hù)等工作無關(guān)的帳號(hào)。檢測操作步驟1、參考配置操作DB2企業(yè)管理器-〉安全性-〉登陸中刪除無關(guān)帳號(hào)；DB2企業(yè)管理器-〉數(shù)據(jù)庫-〉對(duì)應(yīng)數(shù)據(jù)庫-〉用戶中刪除無關(guān)帳號(hào)；基線符合性判定依據(jù)首先刪除不需要的用戶，已刪除數(shù)據(jù)庫不能登陸使用在DB2查詢分析器的登陸界面中使用已刪除帳號(hào)登陸備注手工檢查分配數(shù)據(jù)庫用戶所需的最小權(quán)限*安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)DB2共享帳號(hào)安全基線要求項(xiàng)安全基線SBL-DB2-02-01-02安全基線項(xiàng)說明在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。檢測操作步驟.更改數(shù)據(jù)庫屬性，取消業(yè)務(wù)數(shù)據(jù)庫帳號(hào)不需要的服務(wù)器角色；.更改數(shù)據(jù)庫屬性，取消業(yè)務(wù)數(shù)據(jù)庫帳號(hào)不需要的“數(shù)據(jù)庫訪問許可”和“數(shù)據(jù)庫角色中允許”中不需要的角色。基線符合性判定依據(jù).更改數(shù)據(jù)庫屬性，取消業(yè)務(wù)數(shù)據(jù)庫帳號(hào)不需要的服務(wù)器角色；.更改數(shù)據(jù)庫屬性，取消業(yè)務(wù)數(shù)據(jù)庫帳號(hào)不需要的“數(shù)據(jù)庫訪問許可”和“數(shù)據(jù)庫角色中允許”中不需要的角色。備注建議手工檢查

2.2口令2.2.1DB2用戶口令安全安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)DB2用戶口令安全基線要求項(xiàng)安全基線SBL-DB2-02-02-01安全基線項(xiàng)說明對(duì)用戶的屬性進(jìn)行安全檢查，包括空密碼、密碼更新時(shí)間等。修改目前所有帳號(hào)的口令，確認(rèn)為強(qiáng)口令。口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測操作步驟.檢查password字段是否為null。.參考配置操作查看用戶狀態(tài)運(yùn)行查詢分析器，查看口令為空的用戶基線符合性判定依據(jù)password字段不為null。備注第3章數(shù)據(jù)庫權(quán)限從PUBLIC撤銷隱式的權(quán)限和特權(quán)從PUBLIC撤銷隱式的權(quán)限和特權(quán)安全基線項(xiàng)目名稱DB2隱式權(quán)限安全基線要求項(xiàng)安全基線編號(hào)SBL-DB2-03-01-01安全基線項(xiàng)說明從PUBLIC撤銷隱式的權(quán)限和特權(quán)檢測操作步驟連接數(shù)據(jù)庫這里以testdb為例，CONNECTTOtestdb;執(zhí)行下面命令取消PUBLIC的隱式的權(quán)限和特權(quán)：REVOKEBINDADDONDATABASEFROMPUBLIC;REVOKECREATETABONDATABASEFROMPUBLIC;REVOKECONNECTONDATABASEFROMPUBLIC;REVOKEIMPLICIT_SCHEMAONDATABASEFROMPUBLIC;REVOKEUSEOFTABLESPACEUSERSPACE1FROMPUBLIC;REVOKESELECTONTABLESYSCAT.COLAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.DBAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.INDEXAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.PACKAGEAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.PASSTHRUAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.ROUTINEAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SCHEMAAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SECURITYLABELACCESSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SECURITYPOLICYEXEMPTIONS

FROMPUBLIC;REVOKESELECTONTABLESYSCAT.SEQUENCEAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SURROGATEAUTHIDSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.TABAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.TBSPACEAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.XSROBJECTAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.AUTHORIZATIONIDSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.OBJECTOWNERSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.PRIVILEGESFROMPUBLIC;基線符合性判定依據(jù)建議在創(chuàng)建一個(gè)新的數(shù)據(jù)庫之后，應(yīng)立即撤銷這些被授給PUBLIC的隱式特權(quán)。從DB2V9.1開始，CREATEDATABASE命令語法增加了RESTRICTIVE選項(xiàng)。如果該命令中包括了RESTRICTIVE選項(xiàng)，那么會(huì)導(dǎo)致RESTRICT_ACCESS數(shù)據(jù)庫配置參數(shù)被設(shè)置為 YES，同時(shí)不自動(dòng)授予PUBLIC任何特權(quán)。如果忽略了RESTRICTIVE選項(xiàng)，那么RESTRICT_ACCESS數(shù)據(jù)庫配置參數(shù)被設(shè)置為NO,前述所有特權(quán)都將自動(dòng)授予PUBLICo您可以執(zhí)行上述清單中顯示的語句來撤銷系統(tǒng)編目視圖上的特權(quán)和其他被授予PUBLIC的隱式特權(quán)。但這個(gè)清單還不是最全的。備注DB2在內(nèi)部使用一個(gè)名為PUBLIC的偽組，對(duì)于PUBLIC,可以為之授予特權(quán)，也可以撤銷它的特權(quán)。PUBLIC實(shí)際上不是在外部安全設(shè)施中定義的一個(gè)組，但通過它可以為通過DB2認(rèn)證的用戶授予特權(quán)。

跟蹤隱式的特權(quán)跟蹤隱式的特權(quán)安全基線項(xiàng)目名稱DB2隱式特權(quán)管理安全基線要求項(xiàng)安全基線編號(hào)SBL-DB2-03-02-01安全基線項(xiàng)說明踉蹤隱式的特權(quán)檢測操作步驟運(yùn)行g(shù)etdbmcfg查看狀態(tài)，并記錄。例如，假設(shè)您一開始將DBADM權(quán)限授予用戶JEFF，而隨后又您決定撤銷此權(quán)限。為了撤銷JEFF的DBADM權(quán)限，可以使用以下語句：REVOKEDBADMONDATABASEFROMUSERjeff基線符合性判定依據(jù)應(yīng)該仔細(xì)檢查和踉蹤執(zhí)行某動(dòng)作時(shí)所授予的隱式特權(quán)。如果以后撤銷這個(gè)動(dòng)作，那么應(yīng)撤銷任何隱式的特權(quán)。備注檢查用戶許可和特權(quán)檢查用戶許可和特權(quán)*安全基線項(xiàng)目名稱DB2用戶許可和特權(quán)安全基線要求項(xiàng)安全基線編號(hào)SBL-DB2-03-03-01安全基線項(xiàng)說明檢查用戶許可和特權(quán)檢測操作步驟打開ControlCenter查看授予許可；檢查每個(gè)用戶的許可，將超出的許可和特權(quán)取消?；€符合性判定依據(jù)確保所有被授出的許可和特權(quán)都是確實(shí)有必要的。對(duì)于不熟悉DB2安全模型的開發(fā)人員來說，他們往往因?yàn)樨潏D簡單而通過ControlCenter為自己授予所有可用的特權(quán)，以避免安全錯(cuò)誤消息。您應(yīng)該確

保所有被授出的許可和權(quán)限都是確實(shí)有必要的。備注手工檢查第4章DB2認(rèn)證為SYSxxx_GROUP參數(shù)使用顯式值為SYSxxx_GROUP參數(shù)使用顯式值安全基線項(xiàng)目名稱DB2SYSxxx_GROUP參數(shù)安全基線要求項(xiàng)安全基線編號(hào)SBL-DB2-04-01-01安全基線項(xiàng)說明為SYSxxx_GROUP參數(shù)使用顯式值檢測操作步驟連接數(shù)據(jù)庫這里以testdb為例，CONNECTTOtestdb;執(zhí)行下面命令修改參數(shù)的缺省值：UPDATEDBMCFGUSINGSYSADM_GROUPdbagrp1db2stopdb2start基線符合性判定依據(jù)在Windows上進(jìn)行缺省的DB2安裝時(shí)，這些參數(shù)的值被缺省地設(shè)置為NULL。這意味著超級(jí)用戶權(quán)限被授給屬于本地Administrators組的所有有效用戶帳戶。在Linux和UNIX平臺(tái)上，NULL值被缺省地賦給實(shí)例所有者的主組，完成安裝后，缺省情況下這個(gè)組只包含用戶ID和實(shí)例所有者。備注使用加密的AUTHENTICATION模式使用加密的AUTHENTICATION模式安全基線項(xiàng)目名稱DB2AUTHENTICATION模式安全基線要求項(xiàng)

安全基線編號(hào)SBL-DB2-04-02-01安全基線項(xiàng)說明使用加密的AUTHENTICATION模式檢測操作步驟連接數(shù)據(jù)庫這里以testdb為例，CONNECTTOtestdb;執(zhí)行下面命令修改參數(shù)的缺省值（要更新AUTHENTICATION實(shí)例參數(shù)的值，在這個(gè)例子中就是DATA_ENCRYPT的值）：UPDATEDBMCFGUSINGAUTHENTIC