DB2数据库系统安全配置基线检查指导文件.doc

DB2数据库系统安全配置基线 目录 TOC \o 1-3 \h \z \u 1 概述 3 1.1 目的 3 1.2 适用范围 3 1.3 适用版本 3 1.4 安全基线说明 3 2 账号管理、认证授权 4 2.1 使用加密的 AUTHENTICATION 模式 4 2.2 限制帐户权限 6 2.3 检查用户对象特权的使用情况 7 2.4 为 SYSxxx_GROUP 参数使用显式值 8 2.5 从PUBLIC撤销隐式的权限和特权 9 3 日志配置 12 3.1 审计日志功能 12 3.2 日志文件大小 13 3.3 配置审计缓冲区 14 4 设备其他安全要求 16 4.1 检查数据库版本 16 DB2数据库系统安全配置基线 概述 目的 本文档旨在指导系统管理人员或安全检查人员进行DB2数据库的安全合规性检查和配置。 适用范围 本配置标准的使用者包括：数据库管理员 本配置标准适用的范围包括：维护管理DB2数据库。 适用版本 DB2 安全基线说明 此安全基线主要包括帐户管理、认证授权、日志配置、其他安全要求等几方面内容，基线内容包含9项安全基线。 DB2数据库系统安全配置基线 账号管理、认证授权 使用加密的 AUTHENTICATION 模式 安全基线项目名称 使用加密的 AUTHENTICATION 模式 安全基线编号 DB2-01 安全基线项说明 身份验证是指使用一种安全机制对用户 ID 和密码进行验证的过程。用户和组的身份验证是在 DB2 外部的一个设施中，例如操作系统、域控制器或 Kerberos 安全系统中进行管理的。实际的身份验证位置由实例参数 AUTHENTICATION 的值来决定。有很多不同的身份验证模式，包括在 DB2 服务器上（使用服务器的安全设施）、在客户机上（允许 “单点” 访问）、在一个 Kerberos 安全设施上或者通过一个用户定义的 Generic Security Service（GSS）插件对用户进行身份验证。其他身份验证选项还包括当用户名和密码以及数据通过网络在客户机与服务器之间传输的时候，对它们进行加密。对它们进行加密，有以下几种加密身份验证选项： SERVER_ENCRYPT：规定在服务器上定义的安全设施上进行身份验证。KRB_SERVER_ENCRYPT：规定服务器接受 KERBEROS 认证或加密的 SERVER 身份验证模式。 DATA_ENCRYPT：规定服务器接受加密的SERVER 身份验证模式和对用户数据的加密。 DATA_ENCRYPT_CMP ：规定服务器接受 SERVER 身份验证模式和对用户数据的加密。 GSS_SERVER_ENCRYPT ：规定服务器接受基于 GSS API 插件的身份验证或加密的服务器身份验证模式。 检测操作步骤 Db2cmd 打开db2cmd命令行 Db2 connect to sample(数据库名) db2 get dbm cfg | find “AUTHENTICATION” 基线符合性 判定依据 通过：db2 get dbm cfg 查看参数AUTHENTICATION的值。 不满足 加固标准 update dbm cfg using AUTHENTICATION DATA_ENCRYPT db2stop db2start 备注 限制帐户权限 安全基线项目名称 限制帐户权限 安全基线编号 DB2-02 安全基线项说明 防止数据库权限的滥用，减少安全隐患。 检测操作步骤 通过：db2 get dbm cfg | find “SYSMAINT_GROUP”的值。 基线符合性 判定依据 确认修改已经生效，可以通过执行以下命令来查看参数的值： db2 get dbm cfg 不满足 默认 加固标准 将 SYSMAINT_GROUP 参数的值改为 MAINT，可以在命令行上执行以下命令： update dbm cfg using SYSADM_GROUP MAINT 要让修改生效，必须重新启动 数据库实例： db2stop db2start 备注 检查用户对象特权的使用情况 安全基线项目名称 检查用户对象特权的使用情况 安全基线编号 DB2-03 安全基线项说明 检查当前用户权限，合理管理权限 检测操作步骤 运行db2 get authorizations查看状态 基线符合性 判定依据 权限合理，即符合。默认 加固标准 删除权限：revoke 增加权限：grant 从用户 JEN 撤消 STAFF 表上的 ALTER 特权，可以发出以下语句： REVOKE ALTER ON TABLE staff