首頁>Club>
6
回覆列表
  • 1 # 牆頭說安全

    資料庫安全配置

    資料庫的安全配置主要內容包括使用者賬號、訪問、加密、防惡、加固方面的內容,不包含備份恢復方面的內容。具體如下:

    1、OS:資料庫所基於的作業系統應同樣滿足公司制定的技術規範。

    2、補丁:應在不影響系統正常執行的前提下,透過打補丁的方式提升資料庫的安全性。3、審計:應根據實際情況有選擇性地開啟資料庫審計功能。

    4、使用者管理:

    1)使用者賬號的許可權應遵循最小化原則。

    3)賬號密碼的強度應符合安全規範。

    5、傳輸加密:透過加密傳輸通道防止傳輸內容被非法獲取或修改。

    6、許可權設定:去除部分角色在資料庫中的連線與執行許可權。

    7、其他:根據各資料庫的特性所規定的安全配置規範。

    上述安全配置要求分為兩類:必選項與可選項。資料庫必須符合必選項的安全配置要求,並由公司安全部門定期進行檢查。可選項的安全配置要求作為加強資料庫安全的參考。

    資料庫的必選項包括:使用者管理、許可權設定、TNS Listener。詳細配置要求見下文。

    Oracle

    1. OS

    · 必須確保Oracle 資料庫所在的伺服器的作業系統是經過安全配置的,具體配置參考《IT 系統平臺安全配置指南》。

    2. 資料庫補丁

    安全部門應對影響業務資料機密性、保密性、完整性或其他必需的安全屬性的安全補丁進行分析並測試,評估其對生產環境的影響和必要性,如無影響方可安裝補丁,具體補丁安裝流程參考《安全補丁更新流程》。

    3. 審計

    · 如果終端使用者數量不多,建議開啟登陸審計;對於終端使用者很多的系統,開啟登陸審計將嚴重影響資料庫的效能,不建議開啟登陸審計。其他審計根據各自的應用系統安全需要自行決定是否開啟。對於使用中介軟體的應用系統,資料庫的登陸審計無效。

    4. 使用者管理

    1)如果沒有特殊情況,應該確保只有一個DBA 許可權使用者。

    2)建立使用者應該分配特定的角色,該角色是滿足其任務所需的最小許可權組合。

    3)更改具有DBA 許可權的內建Oracle 使用者密碼,例如sys、system、mdsys、ctxsys、wksys、sysman、dbsnmp、odm、odm_mtr、ordplugins、ordsys、outln、scott、wk_proxy、wmsys、xdb、tracesvr、oas_public、websys、lbacsys、rman、perfstat、exfsys、si_informtn_schema等。

    4)設定資料庫使用者的失敗登入次數,賬號最長使用時間,賬號複雜性等策略(如FAILED_LOGIN_ATTEMPTS=3、PASSWORD_LIFE_TIME=90、PASSWORD_REUSE_MAX=5等),具體策略設定參考《集中賬號安全管理流程》。

    5. 傳輸資訊加密

    1)配置Oracle 加密傳輸認證口令(DBLINK_ENCRYPT_LOGIN=ture)。

    2)如果傳輸其他敏感資訊,加密。

    6. 許可權設定

    1)如果沒有必要,去除CONNECT 角色擁有的建立儲存過程與資料庫連結的許可權。

    2)取消public 在下面package 上的執行許可權:

    3) UTL_SMTP UTL_TCP UTL_HTTP UTL_FILE UTL_RANDOMDBMS_LOB

    4)DBMS_SYS_SQL DBMS_JOB

    7. TNS Listener

    1)設定Listener 密碼,密碼規範按照相關規定。

    2)開啟admin restriction,保護特定的命令不能遠端執行。

    透過在檔案 listener.ora 中設定 ADMIN_RESTRICTIONS_<listener name> 為 ON 可以阻止所有在執行時對監聽器的修改。

    在對 listener.ora 檔案修改後,使用 lsnrctl reload 命令(或者先lsnrctl stop再lsnrctl start)使修改生效,不能直接用命令修改。

    SQL Server

    1. OS

    1)必須確保Oracle 資料庫所在的伺服器的作業系統是經過安全配置的,具體配置參考《IT 系統平臺安全配置指南》。

    2. 資料庫補丁

    全部門應對影響業務資料機密性、保密性、完整性或其他億咖通必需的安全屬性的安全補丁進行分析並測試,評估其對生產環境的影響和必要性,如無影響方可安裝補丁,具體補丁安裝流程參考《安全補丁更新流程》。

    3. 審計

    至少開啟資料庫登入審計,其他審計根據需要另外開啟。

    4. 使用者管理

    1)如果沒有特殊情況,應該確保sysadm組中只有一個使用者。

    2)建立使用者應該分配特定的角色,該角色是滿足其任務所需的最小許可權組合。

    5. 傳輸資訊加密

    如果傳輸敏感資訊,加密客戶端與資料庫之間的通訊流量。

    6. 許可權設定

    取消除了master 與tempdb 外guest 使用者的訪問許可權。其他

    7. 其他

    xp_cmdshell

    xp_OACreate xp_OADestory xp_OAGetErrorInfo xp_OAGetProperty

    xp_OAMethod xp_SetProperty xp_OAStop

    xp_dirtree

    2)採用windows 與SQLServer 混合認證方式。

  • 中秋節和大豐收的關聯?
  • 減肥瘦了6斤之後體重不動了,這是平臺期嗎?我該怎麼度過?