2019年DB2数据库安全配置基线.docVIP

DB2数据库系统安全配置基线 中国移动集团公司 第 PAGE 20 页 共 NUMPAGES 20 页 DB2数据库系统安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年1月 V2.0 更新 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 TOC \o 1-3 \h \z \u 第1章 概述 4 1.1 适用范围 4 1.2 适用版本 4 1.3 实施 4 1.4 例外条款 4 第2章 帐号与口令 5 2.1 帐号 5 2.1.1 删除不必要的帐号* 5 2.1.2 分配数据库用户所需的最小权限* 5 2.2 口令 6 2.2.1 DB2用户口令安全 6 第3章 数据库权限 7 3.1 从PUBLIC撤销隐式的权限和特权 7 3.1.1 从PUBLIC撤销隐式的权限和特权 7 3.2 跟踪隐式的特权 9 3.2.1 跟踪隐式的特权 9 3.3 检查用户许可和特权 9 3.3.1 检查用户许可和特权* 9 第4章 DB2认证 11 4.1 为SYSxxx_GROUP 参数使用显式值 11 4.1.1 为SYSxxx_GROUP 参数使用显式值 11 4.2 使用加密的AUTHENTICATION模式 11 4.2.1 使用加密的AUTHENTICATION模式 11 第5章 DB2审计 13 5.1 执行随机安全审计 13 5.1.1 执行随机安全审计* 13 第6章 评审与修订 14  概述 本文档规定了中国移动管理信息系统部所维护管理的DB2数据库系统应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行DB2数据库系统的安全合规性检查和配置。 适用范围 本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的DB2数据库系统。 适用版本 DB2数据库系统。 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。 帐号与口令 帐号 删除不必要的帐号* 安全基线项目名称 数据库管理系统DB2用户安全基线要求项 安全基线 SBL- DB2-02-01-01 安全基线项说明 应删除与数据库运行、维护等工作无关的帐号。 检测操作步骤 1、 参考配置操作 DB2企业管理器-〉安全性-〉登陆中删除无关帐号； DB2企业管理器-〉数据库-〉对应数据库-〉用户中删除无关帐号； 基线符合性判定依据 首先删除不需要的用户，已删除数据库不能登陆使用 在DB2查询分析器的登陆界面中使用已删除帐号登陆 备注 手工检查 分配数据库用户所需的最小权限* 安全基线项目名称 数据库管理系统DB2共享帐号安全基线要求项 安全基线 SBL- DB2-02-01-02 安全基线项说明 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 检测操作步骤 更改数据库属性，取消业务数据库帐号不需要的服务器角色； 更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。 基线符合性判定依据 更改数据库属性，取消业务数据库帐号不需要的服务器角色； 更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。 备注 建议手工检查 口令 DB2用户口令安全 安全基线项目名称 数据库管理系统DB2用户口令安全基线要求项 安全基线 SBL- DB2-02-02-01 安全基线项说明 对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有帐号的口令，确认为强口令。口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 检测操作步骤 1.检查password字段是否为null。 2.参考配置操作 查看用户状态 运行查询分析器，查看口令为空的用户 基线符合性判定依据 password字段不为null。 备注  数据库权限 从PUBLIC撤销隐式的权限和特权 从PUBLIC撤销隐式的权限和特权 安全基线项目名称 DB2隐式权限安全基线要求项 安全