DB2數(shù)據(jù)庫安全配置基線

DB2數(shù)據(jù)庫系統(tǒng)安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月

版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2012年4月備注：.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 4\o"CurrentDocument"適用范圍 4\o"CurrentDocument"適用版本 4\o"CurrentDocument"實施 4\o"CurrentDocument"例外條款 4\o"CurrentDocument"第2章帳號與口令 5\o"CurrentDocument"帳號 5\o"CurrentDocument"刪除不必要的帳號 5\o"CurrentDocument"分配數(shù)據(jù)庫用戶所需的最小權限 5\o"CurrentDocument"口令 6\o"CurrentDocument"DB2用戶□令安全 6\o"CurrentDocument"第3章數(shù)據(jù)庫權限 7\o"CurrentDocument"從PUBLIC撤銷隱式的權限和特權 7從PUBLIC撤銷隱式的權限和特權 7跟蹤隱式的特權 9跟蹤隱式的特權 9檢查用戶許可和特權 9檢查用戶許可和特極 9\o"CurrentDocument"第4章 DB2認證 11\o"CurrentDocument"為SYSxxx_GROUP參數(shù)使用顯式值 11\o"CurrentDocument"為SYSxxx_GROUP參數(shù)使用顯式值 11\o"CurrentDocument"使用加密的AUTHENTICATION模式 11\o"CurrentDocument"使用加密的AUTHENTICATION模式 11\o"CurrentDocument"第5章 DB2審計 13\o"CurrentDocument"執(zhí)行隨機安全審計 13執(zhí)行隨機安全審評 13\o"CurrentDocument"第6章評審與修訂 14第1章概述本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護管理的DB2數(shù)據(jù)庫系統(tǒng)應當遵循的數(shù)據(jù)庫安全性設置標準，本文檔旨在指導系統(tǒng)管理人員或安全檢查人員進行DB2數(shù)據(jù)庫系統(tǒng)的安全合規(guī)性檢查和配置。1.1適用范本配置標準的使用者包括：數(shù)據(jù)庫管理員、應用管理員、網(wǎng)絡安全管理員。本配置標準適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的DB2數(shù)據(jù)庫系統(tǒng)。適用版本DB2數(shù)據(jù)庫系統(tǒng)。實施本標準的解釋權和修改權屬于中國移動集團管理信息系統(tǒng)部，在本標準的執(zhí)行過程中若有任何疑問或建議，應及時反饋。本標準發(fā)布之日起生效。例外條款欲申請本標準的例外條款，申請人必須準備書面申請文件，說明業(yè)務需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。第2章帳號與口令帳號刪除不必要的帳號*安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)DB2用戶安全基線要求項安全基線SBL-DB2-02-01-01安全基線項說明應刪除與數(shù)據(jù)庫運行、維護等工作無關的帳號。檢測操作步驟1、參考配置操作DB2企業(yè)管理器-〉安全性-〉登陸中刪除無關帳號；DB2企業(yè)管理器-〉數(shù)據(jù)庫-〉對應數(shù)據(jù)庫-〉用戶中刪除無關帳號；基線符合性判定依據(jù)首先刪除不需要的用戶，已刪除數(shù)據(jù)庫不能登陸使用在DB2查詢分析器的登陸界面中使用已刪除帳號登陸備注手工檢查分配數(shù)據(jù)庫用戶所需的最小權限*安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)DB2共享帳號安全基線要求項安全基線SBL-DB2-02-01-02安全基線項說明在數(shù)據(jù)庫權限配置能力內，根據(jù)用戶的業(yè)務需要，配置其所需的最小權限。檢測操作步驟.更改數(shù)據(jù)庫屬性，取消業(yè)務數(shù)據(jù)庫帳號不需要的服務器角色；.更改數(shù)據(jù)庫屬性，取消業(yè)務數(shù)據(jù)庫帳號不需要的“數(shù)據(jù)庫訪問許可”和“數(shù)據(jù)庫角色中允許”中不需要的角色?；€符合性判定依據(jù).更改數(shù)據(jù)庫屬性，取消業(yè)務數(shù)據(jù)庫帳號不需要的服務器角色；.更改數(shù)據(jù)庫屬性，取消業(yè)務數(shù)據(jù)庫帳號不需要的“數(shù)據(jù)庫訪問許可”和“數(shù)據(jù)庫角色中允許”中不需要的角色。備注建議手工檢查

2.2口令2.2.1DB2用戶口令安全安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)DB2用戶口令安全基線要求項安全基線SBL-DB2-02-02-01安全基線項說明對用戶的屬性進行安全檢查，包括空密碼、密碼更新時間等。修改目前所有帳號的口令，確認為強口令?？诹铋L度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內不得設置相同的口令。密碼應至少每90天進行更換。檢測操作步驟.檢查password字段是否為null。.參考配置操作查看用戶狀態(tài)運行查詢分析器，查看口令為空的用戶基線符合性判定依據(jù)password字段不為null。備注第3章數(shù)據(jù)庫權限從PUBLIC撤銷隱式的權限和特權從PUBLIC撤銷隱式的權限和特權安全基線項目名稱DB2隱式權限安全基線要求項安全基線編號SBL-DB2-03-01-01安全基線項說明從PUBLIC撤銷隱式的權限和特權檢測操作步驟連接數(shù)據(jù)庫這里以testdb為例，CONNECTTOtestdb;執(zhí)行下面命令取消PUBLIC的隱式的權限和特權：REVOKEBINDADDONDATABASEFROMPUBLIC;REVOKECREATETABONDATABASEFROMPUBLIC;REVOKECONNECTONDATABASEFROMPUBLIC;REVOKEIMPLICIT_SCHEMAONDATABASEFROMPUBLIC;REVOKEUSEOFTABLESPACEUSERSPACE1FROMPUBLIC;REVOKESELECTONTABLESYSCAT.COLAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.DBAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.INDEXAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.PACKAGEAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.PASSTHRUAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.ROUTINEAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SCHEMAAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SECURITYLABELACCESSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SECURITYPOLICYEXEMPTIONS

FROMPUBLIC;REVOKESELECTONTABLESYSCAT.SEQUENCEAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.SURROGATEAUTHIDSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.TABAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.TBSPACEAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.XSROBJECTAUTHFROMPUBLIC;REVOKESELECTONTABLESYSCAT.AUTHORIZATIONIDSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.OBJECTOWNERSFROMPUBLIC;REVOKESELECTONTABLESYSCAT.PRIVILEGESFROMPUBLIC;基線符合性判定依據(jù)建議在創(chuàng)建一個新的數(shù)據(jù)庫之后，應立即撤銷這些被授給PUBLIC的隱式特權。從DB2V9.1開始，CREATEDATABASE命令語法增加了RESTRICTIVE選項。如果該命令中包括了RESTRICTIVE選項，那么會導致RESTRICT_ACCESS數(shù)據(jù)庫配置參數(shù)被設置為 YES，同時不自動授予PUBLIC任何特權。如果忽略了RESTRICTIVE選項，那么RESTRICT_ACCESS數(shù)據(jù)庫配置參數(shù)被設置為NO,前述所有特權都將自動授予PUBLICo您可以執(zhí)行上述清單中顯示的語句來撤銷系統(tǒng)編目視圖上的特權和其他被授予PUBLIC的隱式特權。但這個清單還不是最全的。備注DB2在內部使用一個名為PUBLIC的偽組，對于PUBLIC,可以為之授予特權，也可以撤銷它的特權。PUBLIC實際上不是在外部安全設施中定義的一個組，但通過它可以為通過DB2認證的用戶授予特權。

跟蹤隱式的特權跟蹤隱式的特權安全基線項目名稱DB2隱式特權管理安全基線要求項安全基線編號SBL-DB2-03-02-01安全基線項說明踉蹤隱式的特權檢測操作步驟運行getdbmcfg查看狀態(tài)，并記錄。例如，假設您一開始將DBADM權限授予用戶JEFF，而隨后又您決定撤銷此權限。為了撤銷JEFF的DBADM權限，可以使用以下語句：REVOKEDBADMONDATABASEFROMUSERjeff基線符合性判定依據(jù)應該仔細檢查和踉蹤執(zhí)行某動作時所授予的隱式特權。如果以后撤銷這個動作，那么應撤銷任何隱式的特權。備注檢查用戶許可和特權檢查用戶許可和特權*安全基線項目名稱DB2用戶許可和特權安全基線要求項安全基線編號SBL-DB2-03-03-01安全基線項說明檢查用戶許可和特權檢測操作步驟打開ControlCenter查看授予許可；檢查每個用戶的許可，將超出的許可和特權取消。基線符合性判定依據(jù)確保所有被授出的許可和特權都是確實有必要的。對于不熟悉DB2安全模型的開發(fā)人員來說，他們往往因為貪圖簡單而通過ControlCenter為自己授予所有可用的特權，以避免安全錯誤消息。您應該確

保所有被授出的許可和權限都是確實有必要的。備注手工檢查第4章DB2認證為SYSxxx_GROUP參數(shù)使用顯式值為SYSxxx_GROUP參數(shù)使用顯式值安全基線項目名稱DB2SYSxxx_GROUP參數(shù)安全基線要求項安全基線編號SBL-DB2-04-01-01安全基線項說明為SYSxxx_GROUP參數(shù)使用顯式值檢測操作步驟連接數(shù)據(jù)庫這里以testdb為例，CONNECTTOtestdb;執(zhí)行下面命令修改參數(shù)的缺省值：UPDATEDBMCFGUSINGSYSADM_GROUPdbagrp1db2stopdb2start基線符合性判定依據(jù)在Windows上進行缺省的DB2安裝時，這些參數(shù)的值被缺省地設置為NULL。這意味著超級用戶權限被授給屬于本地Administrators組的所有有效用戶帳戶。在Linux和UNIX平臺上，NULL值被缺省地賦給實例所有者的主組，完成安裝后，缺省情況下這個組只包含用戶ID和實例所有者。備注使用加密的AUTHENTICATION模式使用加密的AUTHENTICATION模式安全基線項目名稱DB2AUTHENTICATION模式安全基線要求項

安全基線編號SBL-DB2-04-02-01安全基線項說明使用加密的AUTHENTICATION模式檢測操作步驟連接數(shù)據(jù)庫這里以testdb為例，CONNECTTOtestdb;執(zhí)行下面命令修改參數(shù)的缺省值（要更新AUTHENTICATION實例參數(shù)的值，在這個例子中就是DATA_ENCRYPT的值）：UPDATEDBMCFGUSINGAUTHENTIC