MySql数据库安全配置基线
Mysql数据库系统安全配置基线
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录
第1章概述 (4)
1.1目的 (4)
1.2适用范围 (4)
1.3适用版本 (4)
1.4实施 (4)
1.5例外条款 (4)
第2章帐号 (5)
2.1帐号安全 (5)
2.1.1禁止Mysql以管理员帐号权限运行 (5)
2.1.2避免不同用户间共享帐号* (5)
2.1.3删除无关帐号* (6)
第3章口令 (8)
3.1口令安全 (8)
3.1.1不使用默认密码和弱密码 (8)
3.2授权 (8)
3.2.1分配用户最小权限* (8)
第4章日志 (10)
4.1日志审计 (10)
4.1.1配置日志功能* (10)
第5章其他 (12)
5.1其他配置 (12)
5.1.1安装了最新的安全补丁* (12)
5.1.2如果不需要,应禁止远程访问* (12)
5.1.3可信IP地址访问控制* (13)
5.1.4连接数设置 (14)
第6章评审与修订 (15)
第1章概述
1.1 目的
本文档旨在指导数据库管理人员进行Mysql数据库系统的安全配置。
1.2 适用范围
本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。
1.3 适用版本
Mysql数据库系统。
1.4 实施
1.5 例外条款
第2章帐号
2.1 帐号安全
2.1.1禁止Mysql以管理员帐号权限运行
2.1.2避免不同用户间共享帐号*
2.1.3删除无关帐号*
第3章口令
3.1 口令安全
3.1.1不使用默认密码和弱密码
3.2 授权
3.2.1分配用户最小权限*
第4章日志
4.1 日志审计
4.1.1配置日志功能*
第5章其他
5.1 其他配置
5.1.1安装了最新的安全补丁*
5.1.2如果不需要,应禁止远程访问*
5.1.3可信IP地址访问控制*
5.1.4连接数设置
第6章评审与修订
ORACLE数据库安全规范
数据库安全规范
1概述 1.1适用范围 本规范明确了Oracle数据库安全配置方面的基本要求。 1.2符号和缩略语 2 ORACLE安全配置要求 本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求,在未特别说明的情况下,均适用于ORACLE数据库。 本规范从ORACLE数据库的认证授权功能和其它自身安全配置功能提出安全要求。 2.1账号 ORACLE应提供账号管理及认证授权功能,并应满足以下各项要求。 2.1.1按用户分配帐号
2.1.2删除或锁定无关帐号 2.1.3用户权限最小化 要求内容 在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权
限。
grant 权限 to user name; revoke 权限 from user name; 2、补充操作说明 用第一条命令给用户赋相应的最小权限 用第二条命令收回用户多余的权限 业务测试正常 4、检测操作 业务测试正常 5、补充说明 2.1.4使用ROLE 管理对象的权限 1. 使用Create Role 命令创建角色。 2.使用用Grant 命令将相应的系统、对象或 Role 的权限赋予应用用户。 2、补充操作说明 对应用用户不要赋予 DBA Role 或不必要的权限。 4、检测操作 1.以DBA 用户登陆到 sqlplus 中。 2.通过查询 dba_role_privs 、dba_sys_privs 和 dba_tab_privs 等视图来检查 是否使用ROLE 来管理对象权限。 5、补充说明 操作指南 1、参考配置操作 检测方法 3、判定条件 要求内容 使用数据库角色(ROLE )来管理对象的权限。 操作指南 1、参考配置操作 检测方法 3、判定条件
Oracle数据库安全配置规范华为
目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 .......................................................................................................... 错误!未定义书签。 1.3外部引用说明 .............................................................................................................. 错误!未定义书签。 1.4术语和定义 .................................................................................................................. 错误!未定义书签。 1.5符号和缩略语 (2) 2ORACLE安全配置要求 (2) 2.1账号 (2) 2.2口令 (7) 2.3日志 (11) 2.4其他 (13)
1概述 1.1适用范围 本规范明确了Oracle数据库安全配置方面的基本要求。 1.2符号和缩略语 2ORACLE安全配置要求 本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求,在未特别说明的情况下,均适用于ORACLE数据库。 本规范从ORACLE数据库的认证授权功能、安全日志功能,和其他自身安全配置功能提出安全要求。 2.1账号 ORACLE应提供账号管理及认证授权功能,并应满足以下各项要求。 2.1.1按用户分配帐号
Oracle数据库安全配置规范
Oracle数据库安全配置规范 1概述 1.1目的 本规范明确了oracle数据库安全配置方面的基本要求。为了提高oracle数据库的安全性而提出的。 1.2范围 本规范适用于XXXXX适用的oracle数据库版本。 2配置标准 2.1账号管理及认证授权 2.1.1按照用户分配账号 [目的]应按照用户分配账号,避免不同用户共享账号。 [具体配置] create user abc1 identified bypassword1; createuser abc2 identifiedby password2; 建立role,并给role授权,把role赋给不同的用户删除无关账号。 [检测操作]
2.1.2删除无用账号 [目的]应删除或锁定与数据库运行、维护等工作无关的账号。 [具体配置] alter user usernamelock; drop user username cascade; [检测操作] 2.1.3限制DBA远程登入 [目的]限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。 [具体配置] 1.在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止 SYSDBA用户从远程登陆。 2.在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来 禁用SYSDBA角色的自动登入。 [检测操作] 1.以Oracle用户登入到系统中。 2.以sqlplus‘/assysdba’登入到sqlplus环境中。 3.使用showparameter 命令来检查参数REMOTE_LOGIN_PASSWORDFI LE是否设置为NONE。Show parameter REMOTE_LOGIN_PASSWORDF ILE
数据库服务器安全配置检查表
数据库服务器安全配置检查表 更新日期:2004年04月12日 本页内容 如何使用本检查表 产品服务器的安装注意事项 修补程序和更新程序 服务 协议 帐户 文件和目录 共享 端口 注册表 审核与日志记录 SQL Server 安全性 SQL Server 登录、用户和角色 SQL Server 数据库对象 其他注意事项 保持安全 如何使用本检查表 本检查表随模块18 保证数据库服务器的安全一起提供。本检查表可帮助您保护数据库服务器,并可用作相应模块的快照。返回页首 产品服务器的安装注意事项
返回页首 修补程序和更新程序 返回页首 服务
协议 在 在数据库服务器上强化 返回页首 帐户 使用具有最少权限的本地帐户运行 从 禁用 重命名 强制执行强密码策略。 限制远程登录。 限制使用空会话(匿名登录)。 帐户委派必须经过审批。 不使用共享帐户。 限制使用本地
文件和目录 返回页首 共享 从服务器中删除所有不必要的共享。 限制对必需的共享的访问( 如果不需要管理性共享( Operations Manager (MOM) 返回页首 端口
和 配置在同一端口侦听命名实例。 如果端口 将防火墙配置为支持 在服务器网络实用工具中,选中 返回页首 注册表 返回页首 审核与日志记录 记录所有失败的 记录文件系统中的所有失败的操作。 启用 将日志文件从默认位置移走,并使用访问控制列表加以保护。 将日志文件配置为适当大小,具体取决于应用程序的安全需要。
返回页首 SQL Server 安全性 返回页首 SQL Server 登录、用户和角色 返回页首
Oracle数据库安全配置手册
Oracle数据库安全配置手册 Version 1.0
版本控制
目录 第一章目的与范围 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3数据库类型 (1) 第二章数据库安全规范 (1) 2.1操作系统安全 (1) 2.2帐户安全 (2) 2.3密码安全 (2) 2.4访问权限安全 (2) 2.5日志记录 (3) 2.6加密 (3) 2.7管理员客户端安全 (3) 2.8安全补丁 (3) 2.9审计 (3) 第三章数据库安全配置手册 (4) 3.1O RACLE数据库安全配置方法 (4) 3.1.1 基本漏洞加固方法 (4) 3.1.2 特定漏洞加固方法 (12)
第一章目的与范围 1.1 目的 为了加强宝付的数据安全管理,全面提高宝付各业务系统的数据安全水平,保证业务系统的正常运营,提高业务服务质量,特制定本方法。 本文档旨在于规范宝付对各业务系统的Oracle数据库进行安全加固处理。 1.2适用范围 本手册适用于对宝付公司的各业务系统的数据库系统加固进行指导。 1.3数据库类型 数据库类型为Oracle 11g。 第二章数据库安全规范 2.1 操作系统安全 要使数据库安全,首先要使其所在的平台和网络安全。然后就要考虑操作系统的安全性。Oracle使用大量用户不需要直接访问的文件。例如,数据文件和联机重做日志文件只能通过Oracle的后台进程进行读写。因此,只有要创建和删除这些文件的数据库管理员才需要在操作系统级直接访问它们。导出转储文件和其他备份文件也必须受到保护。可以把数据复制到其他数据库上,或者是作为复制模式的一部分,或者是提供一个开发数据库。若要保护数据的安全,就要对数
SQL Server 2000的安全配置
SQL Server 2000安全配置完全攻略 这里,我们主要谈论有关SQL Server2000数据库的安全配置以及一些相关的安全和使用上的问题。 在进行SQL Server 2000数据库的安全配置之前,首先你必须对操作系统进行安全配置,保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件(程序)进行必要的安全审核,比如对ASP、PHP 等脚本,这是很多基于数据库的WEB应用常出现的安全隐患,对于脚本主要是一个过滤问题,需要过滤一些类似, ‘ ;@ / 等字符,防止破坏者构造恶意的SQL语句。 在做完上面三步基础之后,我们再来讨论SQL Server的安全配置。 1、使用安全的密码策略: 我们把密码策略摆在所有安全配置的第一步,请注意,很多数据库帐号的密码过于简单,这跟系统密码过于简单是一个道理。对于sa更应该注意,同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步! SQL Server2000安装的时候,如果是使用混合模式,那么就需要输入sa的密码,除非你确认必须使用空密码。这比以前的版本有所改进。 同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句: Use master Select name,Password from syslogins where password is null 2、使用安全的帐号策略: 由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号,只有当没有其它方法登录到SQL Server 实例(例如,当其它系统管理员不可用或忘记了密码)时才使用sa。建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。 SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话,可以在帐号管理中把系统帐号“BUILTIN\Administrators”删除。不过这样做的结果是一旦sa帐号忘记密码的话,就没有办法来恢复了。 很多主机使用数据库应用只是用来做查询、修改等简单功能的,请根据实际需要分配帐号,并赋予仅仅能够满足应用要求和需要的权限。比如,只要查询功能的,那么就使用一个简单的public帐号能够select 就可以了。
Sybase数据库安全配置规范
Sybase数据库安全配置规范
1.概述 1.1. 目的 本规范明确了Sybase数据库安全配置方面的基本要求。为了提高Sybase数据库的安全性而提出的。 1.2. 范围 本规范适用于XXXX使用的Sybase数据库版本。
2.配置标准 2.1. 通用安全设置 2.1.1.操作系统检查 【目的】检查Sybase安装目录的访问权限,保证只有系统管理员才能访问。 【具体配置】 改变Sybase注册表 KLM\Software\Sybase中的权限键值。 2.1.2.服务器信息 【目的】列举网路上的远程服务器。 【具体配置】 exec sp_helpserver 检查输出内容: 网络密码加密: "net password encryption" = true "net password encryption" = false 安全机制: "rpc security model A" 不提供安全机制 “rpc security model B” 提供不同的安全服务,如互相认证、消息加密、完整 性校验等。 列举特定服务器的信息: exec sp_helpdb 2.1. 3.登录信息 【目的】检查认证模式是否开启和默认登陆。 【具体配置】 检查认证模式是否开启: exec sp_loginconfig "login mode" 0 – 标准模式 1 – 集成模式 2 – 混合模式 标准认证模式: 默认的认证模式。Sybase使用自己的数据库(master数据库中的syslogins 表)来认证用户。Windows NT/2000的管理员如果没有正确的帐户也不能
数据库安全管理规范
人力资源社会保障数据中心 数据库安全管理规范(试行) (征求意见稿) 第一章 总则 第一条【目的】为保障人力资源社会保障应用系统数据库(以下简称数据库)安全,保障数据的保密性、完整性、可用性,规范操作和管理行为,降低数据安全风险,实现人力资源社会保障数据中心安全管理,制定本规范。 第二条【适用范围】本规范适用于各级人力资源社会保障非涉密应用系统的数据库管理,涉密应用系统的数据库应按照国家保密部门的相关规定和标准进行管理。 第三条【定义】本规范所称的数据库,是指人力资源社会保障应用系统处理和服务所依托的集中存储数据的各类数据库系统(含与数据库、数据仓库相关的,以数据库之外形式保管的数据)。 第四条【原则】数据库的安全管理和技术保障措施,应与支撑其安全稳定运行的应用系统安全保护等级相对应。 第二章 岗位职责 第五条【负责单位】人力资源社会保障信息化综合管理机构(以下简称信息部门)负责应用系统数据库的安全管理,保证
数据库安全稳定运行。 第六条【岗位设置】数据库安全运行维护管理岗位包括数据库管理员、数据库安全员和数据库审计员,由信息部门人员承担。 第七条【权责分离】数据库管理员不得同时兼任其他两岗。核心应用系统的数据库安全员应配备专职人员,与其他两岗分离。核心应用系统的数据库管理员和数据库审计员均应分别由多人共同管理1。 第八条【数据库管理员职责】数据库管理员负责数据库配置、账户、监控、备份、日志等数据库全生命周期的运行维护管理,主要职责包括: (一)配置管理:负责数据库的安装(升级、卸载)、服务启停、数据空间管理、数据迁移、版本控制,通过对数据库进行合理配置、测试、调整,最大限度发挥数据库资源优势。 (二)账户管理:建立、删除、修改数据库账户。在数据库安全员授权下,对数据库的账户及其口令进行变更。 (三)运行监控:定期监测数据库运行状况,及时处理解决运行过程中的问题,负责数据库调优,定期编制数据库运行报告。 (四)数据备份管理:定期对数据进行备份和恢复测试。 (五)日志管理:负责数据库日志的设置、检查和分析(如 数据库故障事件记录情况、数据库资源增长超限情况、违规使用 1《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.2.2.2):人员配备:a) 应配备一定数量的系统管理员、网络管理员、安全管理员等;b) 应配备专职安全管理员,不可兼任;c) 关键事务 岗位应配备多人共同管理。
SQLServer数据库安全配置规范
SQLServer数据库安全配置规范
1.概述 1.1. 目的 本规范明确了SQL Server数据库安全配置方面的基本要求。为了提高SQL Server数据库的安全性而提出的。 1.2. 范围 本规范适用于XXXX使用的SQL Server数据库版本。
2.配置标准 2.1. 补丁 2.1.1.安装数据库最新补丁 【目的和操作】连接微软SQLServer网站,获得各个最新的补丁包和补丁集合。 2.2. 网络配置 2.2.1.隐藏服务器 【目的和操作】在企业管理器中选择数据库服务器的属性,网络配置,TCP/IP 属性,选中其中的“隐藏服务器”选项。 该操作可以通过设置IPSE策略过滤UDP1434端口完成。 2.2.2.去掉不必要的协议 【目的和操作】默认情况下,SQLSERVER同时安装TCP/IP和管道,在企业管理器中选择数据库服务器的属性,网络配置,删除管道。 【影响】首先确认用户或者应用程序不使用管道来通讯。只使用Windows进行身份验证并需要远程维护必须使用管道。 2.2. 3.改变默认通信端口 【目的和操作】在企业管理器中选择数据库服务器的属性,网络配置,TCP/IP 属性,默认情况下是TCP 1433端口,请修改该端口为新的端口。 再使用Windows的IPSEC安全策略,禁止非允许的IP地址访问此端口。 【影响】影响使用默认端口的远程访问,要求用户先确认不影响其他操作。
2.2.4.使用通讯协议加密 【目的和操作】使用SSL加密协议。 【影响】影响使用默认端口的远程访问,要求用户先确认不影响其他操作。2.2.5.网络连接访问控制 【目的】在操作系统或者相应的网络设备上设置网络访问控制 【具体配置】 1、禁止非数据库应用系统IP连接UDP1434、TCP1433(或者修改后的通 讯端口)的连接 2、禁止非数据库应用系统IP连接TCP445/139端口的连接。 【影响】根据需要选择。会影响普通的数据库连接。 2.3. 审核设置 2.3.1.设置审核级别 【目的】设置SQL Server的审核选项。 【具体配置】 展开一个服务器组。右击一个服务器,再单击"属性"。在"安全性"选项卡 的"身份验证"下,在"审核级别"中选择在 SQL Server 错误日志中记录的用 户访问 Microsoft? SQL Server?的级别:"全部"表示审核成功的和失败的 登录尝试。 2.3.2.设置日志目录权限 【目的】限制日志目录的权限,防止对日志目录的非授权访问。 【具体配置】 日志通常保留在:SQL Server安装目录\MSSQL\LOG\ 设置目录权限为:administrator, system(完全控制),如果有服务账号, 也加上服务账号的权限。 【影响】 如果SQL Server服务不是以localsystem而是以其他账号运行,那么也设置 该账号有完全控制的权限
DB2数据库安全配置基线.
DB2数据库系统安全配置基线
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1适用范围 (4) 1.2适用版本 (4) 1.3实施 (4) 1.4例外条款 (4) 第2章帐号与口令 (4) 2.1帐号 (4) 2.1.1删除不必要的帐号* (4) 2.1.2分配数据库用户所需的最小权限* (5) 2.2口令 (5) 2.2.1DB2用户口令安全 (5) 第3章数据库权限 (7) 3.1从PUBLIC撤销隐式的权限和特权 (7) 3.1.1从PUBLIC撤销隐式的权限和特权 (7) 3.2跟踪隐式的特权 (9) 3.2.1跟踪隐式的特权 (9) 3.3检查用户许可和特权 (9) 3.3.1检查用户许可和特权* (9) 第4章DB2认证 (11) 4.1为SYS XXX_GROUP参数使用显式值 (11) 4.1.1为SYSxxx_GROUP 参数使用显式值 (11) 4.2使用加密的AUTHENTICATION模式 (11) 4.2.1使用加密的AUTHENTICATION模式 (11) 第5章DB2审计 (13) 5.1执行随机安全审计 (13) 5.1.1执行随机安全审计* (13) 第6章评审与修订 (14)
第1章概述 本文档旨在指导系统管理人员或安全检查人员进行DB2数据库系统的安全合规性检查和配置。 1.1 适用范围 本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。 1.2 适用版本 DB2数据库系统。 1.3 实施 1.4 例外条款 第2章帐号与口令 2.1 帐号 2.1.1删除不必要的帐号*
Oracle数据库安全配置标准
XX公司 Oracle数据库安全配置标准(试行) 1 目的 为保证公司应用系统的信息安全,规范数据库层面的安全配置操作,制定本标准。 2 范围 本标准适用于公司各个业务系统中使用的Oracle 10g及以上数据库系统。 3 安全配置标准 3.1安装数据库的主机要求 ●主机应当专门用于数据库的安装和使用; ●数据库主机避免安装在域控制器上; ●硬件要求请参考Oracle 10g及以上各发行版自带的发行说明; ●主机操作系统层面应当保证安全:Oracle数据库可以安装在Windows Server,Linux,及各类Unix系统上,数据库软件安装之前,应当保证主机操作系统层面的安全,需要对主机进行安全设置,补丁更新,防病毒软件安装等。 3.2数据库补丁安装标准 日常运行维护中如果Oracle推出新的补丁,则应按照《基础平台运维管理办法》的相关规定,在进行评估、验证之后,升级相关补丁。 3.3数据库口令安全配置标准 3.3.1 密码复杂性配置要求 1.密码长度至少为8位 2.必须为DBA帐户和普通帐户提供复杂的口令,需要包含以下字符: ?英语大写字母 A, B, C, … Z ?英语小写字母 a, b, c, … z ?西方阿拉伯数字 0, 1, 2, (9)
?非字母数字字符,如标点符号,@, #, $, %, &, *等 ?为用户建profile,调整PASSWORD_VERIFY_FUNCTION,对密码负载度进行设置: 3.3.2 创建应用账号并授权 创建用户: SQL>create user username identified by password; 基本授权: SQL>grant connect,resource to username; 创建表空间: SQL>create tablespacetablespace_namedatafile ‘/home/oracle/tablespace_name.dbf’size 500m; 用户与表空间对应: SQL>alter user username default tablespacetablespace_name; 3.3.3 禁用不必要的数据库帐户 针对每个数据库里的数据库帐号,确保没有测试帐号和无用的帐号存在。如果存在,应该及时禁用。 使用如下语句查看数据库账号,并锁定不必要的账号 SQL> select username,password,account_status,default_tablespace from dba_users;
DB数据库安全配置基线
DB2数据库系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1适用范围 (4) 1.2适用版本 (4) 1.3实施 (4) 1.4例外条款 (4) 第2章帐号与口令 (5) 2.1帐号 (5) 2.1.1删除不必要的帐号* (5) 2.1.2分配数据库用户所需的最小权限* (5) 2.2口令 (6) 2.2.1DB2用户口令安全 (6) 第3章数据库权限 (7) 3.1从PUBLIC撤销隐式的权限和特权 (7) 3.1.1从PUBLIC撤销隐式的权限和特权 (7) 3.2跟踪隐式的特权 (9) 3.2.1跟踪隐式的特权 (9) 3.3检查用户许可和特权 (9) 3.3.1检查用户许可和特权* (9) 第4章DB2认证 (11) 4.1为SYS XXX_GROUP参数使用显式值 (11) 4.1.1为SYSxxx_GROUP 参数使用显式值 (11) 4.2使用加密的AUTHENTICATION模式 (11) 4.2.1使用加密的AUTHENTICATION模式 (11) 第5章DB2审计 (13) 5.1执行随机安全审计 (13) 5.1.1执行随机安全审计* (13) 第6章评审与修订 (14)
第1章概述 本文档规定了中国移动管理信息系统部所维护管理的DB2数据库系统应当遵循的数据库安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行DB2数据库系统的安全合规性检查和配置。 1.1 适用范围 本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的DB2数据库系统。 1.2 适用版本 DB2数据库系统。 1.3 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.4 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
sqlserver数据库安全配置规范
竭诚为您提供优质文档/双击可除sqlserver数据库安全配置规范 篇一:sqlserver2000的安全配置 sqlserver2000的安全配置 sqlserver2000的安全配置在进行sqlserver2000数据库的安全配置之前,首先你必须对操作系统进行安全配置,保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件(程序)进行必要的安全审核,比如对asp、php 等脚本,这是很多基于数据库的web应用常出现的安全隐患,对于脚本主要是一个过滤问题,需要过滤一些类似,‘;@/等字符,防止破坏者构造恶意的sql语句。接着,安装sqlserver2000后请打上补丁sp1以及最新的sp2。 下载地址是:/sql/downloads/2000/sp1.asp 和/sql/downloads/2000/sp2.asp 在做完上面三步基础之后,我们再来讨论sqlserver的安全配置。 1、使用安全的密码策略 我们把密码策略摆在所有安全配置的第一步,请注意,很多数据库帐号的密码过于简单,这跟系统密码过于简单是
一个道理。对于sa更应该注意,同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步!sqlserver2000安装的时候,如果是使用混合模式,那么就需要输入sa的密码,除非你确认必须使用空密码。这比以前的版本有所改进。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。 比如使用下面的sql语句: usemaster selectname,passwordfromsysloginswherepasswordisnull 2、使用安全的帐号策略 由于sqlserver不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号,只有当没有其它方法登录到sqlserver 实例(例如,当其它系统管理员不可用或忘记了密码)时才使用sa。建议数据库管理员新建立个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。 sqlserver的认证模式有windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话,可以在帐号管理中把系统
数据库安全配置手册草案 _v1.0
数据库安全配置手册 MSN China R&D
目录 1概述 (3) 1.1文档目的 (3) 1.2预期读者 (3) 1.3术语和缩写 (3) 1.4参考资料 (3) 1.5申明 (3) 2安全策略 (3) 2.1MS SQL Server启动账号 (3) 2.2生产数据库的安全部署策略 (4) 2.3禁用linked server (6) 2.4禁用xp_cmdshell (6) 2.5扩展存储过程权限管理 (7) 2.6自动存储过程的管理 (12) 2.7数据库用户密码设定及管理策略 (13) 2.8Lock page in memory权限的设定 (13) 2.9开启AWE (14) 2.10采用Windows授权的认证模式 (15) 2.11限制system administrators (15) 2.12审计登录 (15) 2.13安装64位版本SQL (15) 2.14安装的SQL Server组件 (16) 2.15数据库用户的命名规则 (16) 2.16禁用sa账号 (16) 2.17关闭remote access (18) 2.18安装之后的配置选项和设置(SQL Server 2008) (19) 2.19关闭除TCP/IP之外的其他通信协议 (20) 2.20为命名实例指定静态通信端口 (20) 2.21应用程序account的管理 (21) 2.22Service Pack和安全修补程序 (22) 2.23禁止分布式查询 (22) 2.24处理代码异常 (22) 2.25及时安装补丁 (23) 2.26生产数据库的访问策略 (23) 2.27应用程序权限的授予 (23) 2.28备份的集中管理 (23) 2.29测试及开发数据库的备份 (23) 2.30SQL代码中的安全 (23) 2.31动态 SQL的使用 (24) 2.32防止SQL注入 (24) 2.33防止数据外泄 (24)
Oracle数据库安全配置规范
O r a c l e数据库 安全配置规范 S p e c i f i c a t i o n f o r O r a c l e D a t a b a s e C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e
目录 1概述 (3) 1.1适用范围 (3) 1.2内部适用性说明 (3) 1.3外部引用说明 (4) 1.4术语和定义 (4) 1.5符号和缩略语 (4) 2ORACLE安全配置要求 (4) 2.1账号 (5) 2.2口令 (9) 2.3日志 (13) 2.4其他 (16)
1概述 1.1适用范围 本规范适用于通信网、业务系统和支撑系统的Oracle数据库。本规范明确了Oracle 数据库安全配置方面的基本要求。 1.2内部适用性说明 本规范是在《设备通用设备安全功能和配置规范》(以下简称《通用规范》)各项设备配置要求的基础上,提出的Oracle数据库安全配置规范。以下分项列出本规范对《通用规范》设备配置要求的修订情况。 本规范新增的安全配置要求,如下: 安全要求-设备-ORACLE-配置-3 安全要求-设备-ORACLE-配置-9 安全要求-设备-ORACLE-配置-10-可选 安全要求-设备-ORACLE-配置-11
安全要求-设备-ORACLE-配置-12 安全要求-设备-ORACLE-配置-13 安全要求-设备-ORACLE-配置-14-可选 安全要求-设备-ORACLE-配置-15-可选 安全要求-设备-ORACLE-配置-19-可选 安全要求-设备-ORACLE-配置-20 安全要求-设备-ORACLE-配置-21 安全要求-设备-ORACLE-配置-22-可选 安全要求-设备-ORACLE-配置-23-可选 安全要求-设备-ORACLE-配置-24 1.3外部引用说明 《通用安全功能和配置规范》 1.4术语和定义 1.5符号和缩略语 2ORACLE安全配置要求 本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求,在未特别说明的情况下,均适用于ORACLE数据库。 本规范从ORACLE数据库的认证授权功能、安全日志功能,和其他自身安全配置功能提出安全要求。
基本的SQL安全策略
基本的SQL安全策略 一个故事引起的安全意识 前几日笔者在家里的PC上安装了Windows7旗舰版的操作系统,顺便搭了sqlserver2008和vs2010的开发环境,本打算业余时间可以方便开发、学习。可是不尽人意啊!用了不到两天,居然突然出现一个新建的系统用户,还是管理员组的。晕死了,机器让人给挂马了,成了“肉鸡,养马场”...仔细排查后(看Windows 日志,sqlserver日志等),初步推断:是某位无聊的“黑客”同志,通过扫描器踩点后,然后用“1433端口入侵工具”去找sa用户弱口令,挂上“黑客字典”,弱口令一会儿就可以算出来了。接下来就获得了系统管理员权限,给我机器上放了一些“类似于特洛伊的小虫子”,有新建了一个帐户。加入管理员组,做个提权。。。哎哟!NND还想给我来远程控制啊?还好,这位仁兄比较有“职业道德”,估计也是在“友情检测”罢了,至少在我发现之前,没有做什么严重的破坏(删除数据,格盘等危险操作)。 看来我得好好反省了,毕竟自己在中学时代也是个“黑客爱好者”,曾混迹于各大黑客论坛,网站联盟等。入侵者惯用的那些手法和思路,我还是非常熟悉的,虽然有几年没有接触了。分析一下我的失误:1.安装系统的时候,随便指定了管理员,并给了空口令。2.没有检查防火墙,安全策略,杀毒软件等(认为自己至少在曾经是很懂安全的,估计没人敢惹我,应该没事的)。3.安装数据库的前后,没有做任何的安全控制,例如用户,权限等。就连sa用户,为了图个方便快速,也随便给了弱口令。o(∩_∩)o 哈哈。今天就总结一下sqlserver的安全相关问题(注意:暂时不讨论sql注入方面的知识,因为我觉得sql注入更接近“脚本安全”,和程序员更加关系密切。我今天说的,可能更适合于系统管理员或者DBA) 大多数系统管理员对数据库不熟悉而数据库管理员有对安全问题关心太少,而且一些安全公司也忽略数据库安全,这就使数据库的安全问题更加严峻了。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库 数据库是电子商务、金融以及ERP系统的基础,通常都保存着重要的商业伙伴和客户信息。大多数企业、组织以及政府部门的电子数据都保存在各种数据库中,他们用这些数据库保存一些个人资料,比如员工薪水、个人资料等等。数据库服务器还掌握着敏感的金融数据。包括交易记录、商业事务和帐号数据,战略上的或者专业的信息,比如专利和工程数据,甚至市场计划等等应该保护起来防止竞争者和其他非法者获取的资料。数据完整性和合法存取会受到很多方面的安全威胁,包括密码策略、系统后门、数据库操作以及本身的安全方案。但是数据库通常没有象操作系统和网络这样在安全性上受到重视。 微软的SQL Server是一种广泛使用的数据库,很多电子商务网站、企业内部信息化平台等都是基于SQL Server上的,但是数据库的安全性还没有被人们更系统的安全性等同起来,多数管理员认为只要把网络和操作系统的安全搞好了,那么所有的应用程序也就安全了。大多数系统管理员对数据库不熟悉而数据库管理
Oracle数据库安全配置规范【华为】
目录 1?概述.............................................................................................................................................. 错误!未定义书签。 1.1?适用范围?错误!未定义书签。 1.2?内部适用性说明?错误!未定义书签。 1.3外部引用说明 ................................................................................................................ 错误!未定义书签。1.4?术语和定义.................................................................................................................... 错误!未定义书签。 1.5符号和缩略语 ................................................................................................................ 错误!未定义书签。2?ORACLE安全配置要求 ........................................................................................................... 错误!未定义书签。 2.1账号 ................................................................................................................................ 错误!未定义书签。 2.2?口令?错误!未定义书签。 2.3日志?错误!未定义书签。 2.4其他?错误!未定义书签。 ?
MySQL数据库安全配置
MySQL数据库安全配置规范 2010年11月
第1章概述 1.1适用范围 本规范适用于中国电信通信网、业务系统和支撑系统的MySQL 数据库。本规范明确了MySQL数据库安全配置方面的基本要求。 第2章安全配置要求 2.1账号 编号:1 要求内容以普通帐户安全运行mysqld,禁止mysql以root帐号权限运行,攻 击者可能通过mysql获得系统root超级用户权限,完全控制系统。操作指南:1、参考配置操作 可以通过在/etc/https://www.360docs.net/doc/1d3336886.html,f中设置: [mysql.server] user=mysql 2、补充操作说明 检查方法:1、判定条件 禁止以root账号运行mysqld; 2、检测操作 检查进程属主和运行参数是否包含--user=mysql类似语句: # ps –ef | grepmysqld #grep -i user /etc/https://www.360docs.net/doc/1d3336886.html,f 编号:2 要求内容应按照用户分配账号,避免不同用户间共享账号
操作指南1.参考配置操作 //创建用户 mysql> mysql> insert into https://www.360docs.net/doc/1d3336886.html,er(Host,User,Password,ssl_cipher,x509_issuer,x509_sub ject) values("localhost","pppadmin",password("passwd"),'','',''); 这样就创建了一个名为:phplamp 密码为:1234 的用户。 然后登录一下。 mysql>exit; @>mysql -u phplamp -p @>输入密码 mysql>登录成功 2.补充操作说明 检测方法1.判定条件 不用名称的用户可以连接数据库2.检测操作 使用不同用户连接数据库 编号:3 要求内容应删除或锁定与数据库运行、维护等工作无关的账号 操作指南1.参考配置操作 DROP USER语句用于删除一个或多个MySQL账户。要使用DROP USER,必须拥有mysql数据库的全局CREATE USER权限或DELETE权限。账户名称的用户和主机部分与用户表记录的User和Host列值相对应。使用DROP USER,您可以取消一个账户和其权限,操作如下: DROP USER user; 该语句可以删除来自所有授权表的帐户权限记录。 2.补充操作说明 要点: DROP USER不能自动关闭任何打开的用户对话。而且,如果用户有打开的对话,此时取消用户,则命令不会生效,直到用户对话被关闭后才生效。一旦对话被关闭,用户也被取消,此用户再次试图登录时将会失败。 检测方法检侧操作: mysql 查看所有用户的语句 输入指令select user(); 依次检查所列出的账户是否为必要账户,删除无用户或过期账户。
SQL Server 数据库基准安全配置标准
MS SQL Server数据库 基准安全配置标准 目录 1.将SQL SERVER 身份验证设置为仅限WINDOWS (2) 2.安装最新的补丁更新程序 (2) 3.优化服务 (2) 4.限制SQL SERVER 只采用TCP/IP (3) 5.帐户 (3) 5.1.使用最低权限帐户运行SQL S ERVER (3) 5.2.为SA帐号设置强壮的口令 (3) 5.3.删除SQL来宾用户帐户 (5) 5.4.删除BUILTIN\A DMINISTRATORS 服务器登录 (5) 5.5.不为公共角色授予权限 (5) 6.文件和目录 (5) 6.1.验证对SQL S ERVER 安装目录的访问权限 (6) 6.2.验证E VERYONE 组是否不具有对SQL S ERVER 文件的访问权限 (6) 6.3.保证安装日志文件的安全 (7) 7.SQL SERVER 数据库对象 (7) 7.1.删除示例数据库 (7) 7.2.保证存储过程的安全 (7) 7.3.限制CMD E XEC 对SYSADMIN 角色的访问权限 (9) 8.审核和日志 (11)
1.将SQL Server 身份验证设置为仅限Windows 应当对SQL Server 进行配置,使其支持仅限Windows 身份验证,因为这种验证方式有诸多优点。不必在网络上传送凭据;可避免在数据库连接字符串中嵌入用户名和密码;更易于进行安全管理,因为只需要与一个Windows 安全模块而不是另外的SQL Server 安全模块打交道;密码到期期间的登录安全性得到提高; 最低限度的长度要求及帐户锁定策略。 2.安装最新的补丁更新程序 包括最新的Windows 操作系统以及SQL Server的Service Pack 。 3.优化服务 SQL 服务安装程序运行期间将安装以下四个Windows 服务: ?MSSQLSERVER(对于命名实例,则为MSSQL$InstanceName)。此为SQL Server 数据库引擎,是唯一的强制安装服务。 ?SQLSERVERAGENT(对于命名实例,则为SQLAgent$InstanceName)。可 借助此支持服务制定命令执行计划及在出错时通知操作人员。 ?MSSQLServerADHelper。它可提供Active Directory 集成服务,包括数据 库实例注册。 ?Microsoft Search。它可提供全文搜索能力。在任何情况下均须通过本地系 统帐户来运行此服务。 只有MSSQLSERVER 数据库引擎是必备的。其余服务提供了附加功能,只在特定情况下才需要使用。如并非必需,请禁用这些服务。 注意:不应将SQL Server 配置为以本地系统帐户或本地Administrators 组的任何成员帐户运行。