DB2数据库安全配置基线.

我们面对的这个问题是：数据库安全性话题还没有象测定最短宕机时间世界记录和报告那么引人瞩目。

您是在什么时候最后一次读到有关安全令牌和加密的睿智文章的呢？但正如去年大肆宣传的从一些电子商务企业中盗窃信用卡号码的事件所表明的，安全性缺口的确引人瞩目—而且能削弱顾客的信心。

即便安全性不是最令人激动的主题，对于任何使用数据库管理系统的企业来说，它也是重要顾虑。

同时，随着越来越多的企业参与电子空间，把私有数据从公共数据中分离变得尤为重要。

如想获得更多关于DB2 UDB 安全特性的信息，请参阅DB2 Administration Guide。

任何给定的公司的数据库系统可能要收集、存储和分析成千上万行信息，这些信息本质上有公共的，也有私有的。

由于有这项责任在身，数据库必须使数据库管理员能适当的授权和限制访问。

此外，数据库还必须提供防止未授权用户存取机密数据的方法。

但是有时候，数据库安全信息难以获得或理解。

尽管您常听说DB2 通用数据库（DB2 Universal Database，UDB）是多么可扩展、多么健壮，但您多久才会听到一次有关DB2 的安全特性的细节呢？因为保护数据库安全是DBA 最重要的职责之一，所以您不应当试图通过反复试验来学习数据库安全性。

保护您的数据库安全涉及：防止任何人在企业无需知道的情况下对机密数据进行未授权的存取防止未授权用户恶意删除进行破坏或擅自改变数据采用审核技术监视用户存取数据本文中，我将带您浏览Windows、Unix 和OS/2 版本的DB2 UDB v.7.1 中的安全特性，并描述一些可以帮助您最大化安全性的内部控制。

验证数据库安全性中最基本的概念之一就是验证，这是一个相当简单的过程，系统通过这个过程来证实用户身份。

用户可以通过提供身份证明或验证令牌来响应验证请求。

很可能您已经熟悉这个概念了。

如果您曾经被要求出示带照片的ID（例如，在银行新开帐户时），那么已经有人向您提出过验证请求了。

DB2 数据库安全总述2007-06-28 19:12:04DB2 中有三种主要机制允许DBA 实现数据库安全性计划：认证、授权和特权DB2 内的五种不同权限级别是SYSADM、SYSCTRL、SYSMAINT、DBADM 和LOAD。

登录到安装有DB2 的机器。

发出下列命令：db2 attach to db2inst1这里，认证是隐式执行的。

使用的是登录到机器时所使用的用户标识，并且假定操作系统已经验证了该用户标识。

db2 connect to sample user tst1 using mypassdb2 connect to sample user tst1 using mypass new chgpass confirm chgpass改变密码类型描述SERVER 在服务器上进行认证。

SERVER_ENCRYPT 在服务器上进行认证。

在将密码发送给服务器之前，先在客户机机器上对密码进行加密。

CLIENT 在客户机机器上进行认证（参阅处理不可信的客户机以了解例外情况）。

*KERBEROS 认证由Kerberos 安全性软件执行。

*KRB_SERVER_ENCRYPT 如果客户机设置为KERBEROS，则认证由Kerberos 安全性软件执行。

否则，就使用SERVER_ENCRYPT。

*这些设置只对Windows 2000 操作系统有效。

要查看配置文件中的认证参数：db2 get dbm cfg要将认证参数修改为server_encrypt：C:\PROGRA~1\SQLLIB\BIN>db2 update dbm cfg using authentication server_encryptC:\PROGRA~1\SQLLIB\BIN>db2stopC:\PROGRA~1\SQLLIB\BIN>db2start要将网关认证类型设置成SERVER，您必须在网关机器上发出下列命令：db2 catalog database myhostdb at node nd1 authentication dcsdb2 terminate注：认证从不在网关本身上执行。

DB2数据库参数配置数据库配置发行版级别= 0x0c00数据库发行版级别= 0x0c00数据库地域= CN数据库代码页= 1208数据库代码集= UTF-8数据库国家/地区代码= 86数据库整理顺序= IDENTITY备用整理顺序(ALT_COLLATE) =数字兼容性= OFFVarchar2 兼容性= OFF数据库页大小= 4096动态SQL查询管理(DYN_QUERY_MGMT) = DISABLE对此数据库的发现支持(DISCOVER_DB) = ENABLE限制访问= NO缺省查询优化类(DFT_QUERYOPT) = 5并行度(DFT_DEGREE) = 1在算术异常时继续(DFT_SQLMATHWARN) = NO缺省刷新有效期(DFT_REFRESH_AGE) = 0缺省维护的选项（DFT_MTTB_TYPES）的表类型= SYSTEM保留的高频值的数目(NUM_FREQVALUES) = 10保留的分位点数目(NUM_QUANTILES) = 20十进制浮点舍入方式(DECFLT_ROUNDING) = ROUND_HALF_EVEN 备份暂挂= NO数据库是一致的= NO前滚暂挂= NO复原暂挂= NO启用的多页文件分配= YES恢复状态的日志保留= NO日志记录状态的用户出口= NO自调整内存(SELF_TUNING_MEM) = ON数据库共享内存大小（4KB）(DATABASE_MEMORY) = AUTOMATIC 数据库内存阈值(DB_MEM_THRESH) = 10锁定列表的最大存储量（4KB）(LOCKLIST) = AUTOMATIC每个应用程序的锁定百分比列表(MAXLOCKS) = AUTOMATIC程序包高速缓存大小（4KB）(PCKCACHESZ) = AUTOMATIC共享排序的排序堆域值（4KB）(SHEAPTHRES_SHR) = AUTOMATIC 排序列表堆（4KB）(SORTHEAP) = AUTOMATIC数据库堆（4KB）(DBHEAP) = AUTOMATIC目录高速缓存大小（4KB）(CATALOGCACHE_SZ) = 260日志缓冲区大小（4KB）(LOGBUFSZ) = 98实用程序堆大小（4KB）(UTIL_HEAP_SZ) = 23665缓冲池大小（页）(BUFFPAGE) = 250SQL 语句堆（4KB）(STMTHEAP) = AUTOMATIC缺省应用程序堆（4KB）(APPLHEAPSZ) = AUTOMATIC应用程序内存大小（4KB）(APPL_MEMORY) = AUTOMATIC统计信息堆大小（4KB）(STAT_HEAP_SZ) = AUTOMATIC检查死锁的时间间隔（毫秒）(DLCHKTIME) = 10000锁定超时（秒）(LOCKTIMEOUT) = -1更改的页阈值(CHNGPGS_THRESH) = 80异步页清除程序的数目(NUM_IOCLEANERS) = AUTOMATICI/O 服务器的数目(NUM_IOSERVERS) = AUTOMATIC索引排序标志(INDEXSORT) = YES顺序检测标志(SEQDETECT) = YES缺省预取大小（页）(DFT_PREFETCH_SZ) = AUTOMATIC跟踪修改的页数(TRACKMOD) = OFF容器的缺省数目= 1缺省表空间扩展数据块大小(页) (DFT_EXTENT_SZ) = 32最大活动应用程序数(MAXAPPLS) = AUTOMATIC活动应用程序的平均数目(AVG_APPLS) = AUTOMATIC每个应用程序的最大打开数据库文件数(MAXFILOP) = 32768日志文件大小（4KB）(LOGFILSIZ) = 1024主日志文件的数目(LOGPRIMARY) = 13辅助日志文件的数目(LOGSECOND) = 4已更改的至日志文件的路径(NEWLOGPATH) =日志文件路径= D:\DB2\NODE0000\SQL00005\SQLOGDIR\ 溢出日志路径(OVERFLOWLOGPATH) =镜像日志路径(MIRRORLOGPATH) =首个活动日志文件=磁盘上已满的块日志(BLK_LOG_DSK_FUL) = NO事务使用的最大主日志空间的百分比（MAX_LOG）= 01 个活动UOW 的活动日志文件的数目(NUM_LOG_SPAN) = 0组落实计数(MINCOMMIT) = 1软检查点前回收的日志文件的百分比(SOFTMAX) = 520启用的恢复的日志保留(LOGRETAIN) = OFF启用的日志记录的用户出口(USEREXIT) = OFFHADR 数据库角色= STANDARDHADR 本地主机名(HADR_LOCAL_HOST) =HADR 本地服务名称(HADR_LOCAL_SVC) =HADR 远程主机名(HADR_REMOTE_HOST) =HADR 远程服务名称(HADR_REMOTE_SVC) =远程服务器的HADR 实例名(HADR_REMOTE_INST) =HADR 超时值(HADR_TIMEOUT) = 120HADR 日志写同步方式(HADR_SYNCMODE) = NEARSYNCHADR 对等窗口持续时间（秒）(HADR_PEER_WINDOW) = 0第一个日志归档方法(LOGARCHMETH1) = OFFlogarchmeth1 的选项(LOGARCHOPT1) =第二个日志归档方法(LOGARCHMETH2) = OFFlogarchmeth2 的选项(LOGARCHOPT2) =故障转移日志归档路径(FAILARCHPATH) =错误时重试日志归档次数(NUMARCHRETRY) = 5日志归档重试延迟（秒）(ARCHRETRYDELAY) = 20供应商选项(VENDOROPT) =启用的自动重新启动(AUTORESTART) = ON索引重新创建时间和重做索引构建(INDEXREC) = SYSTEM (RESTART) 在索引构建期间记录页(LOGINDEXBUILD) = OFFloadrec 会话的缺省数目(DFT_LOADREC_SES) = 1要保留的数据库备份的数目(NUM_DB_BACKUPS) = 12恢复历史记录保留时间（天数）(REC_HIS_RETENTN) = 366自动删除恢复对象(AUTO_DEL_REC_OBJ) = OFFTSM 管理类(TSM_MGMTCLASS) =TSM 节点名(TSM_NODENAME) =TSM 所有者(TSM_OWNER) =TSM 密码(TSM_PASSWORD) =自动维护(AUTO_MAINT) = ON自动数据库备份(AUTO_DB_BACKUP) = OFF自动表维护(AUTO_TBL_MAINT) = ON自动runstats (AUTO_RUNSTATS) = ON自动语句统计信息(AUTO_STMT_STATS) = OFF自动统计信息概要分析(AUTO_STATS_PROF) = OFF自动概要文件更新(AUTO_PROF_UPD) = OFF自动重组(AUTO_REORG) = OFF启用XML 字符操作(ENABLE_XMLCHAR) = YESWLM 收集时间间隔（分钟）(WLM_COLLECT_INT) = 0db2 => get db cfg for miaomiao数据库miaomiao 的数据库配置数据库配置发行版级别= 0x0c00数据库发行版级别= 0x0c00数据库地域= CN数据库代码页= 1208数据库代码集= UTF-8数据库国家/地区代码= 86数据库整理顺序= IDENTITY备用整理顺序(ALT_COLLATE) =数字兼容性= OFFVarchar2 兼容性= OFF数据库页大小= 4096动态SQL 查询管理(DYN_QUERY_MGMT) = DISABLE对此数据库的发现支持(DISCOVER_DB) = ENABLE限制访问= NO缺省查询优化类(DFT_QUERYOPT) = 5并行度(DFT_DEGREE) = 1在算术异常时继续(DFT_SQLMATHWARN) = NO缺省刷新有效期(DFT_REFRESH_AGE) = 0缺省维护的选项（DFT_MTTB_TYPES）的表类型= SYSTEM保留的高频值的数目(NUM_FREQVALUES) = 10保留的分位点数目(NUM_QUANTILES) = 20十进制浮点舍入方式(DECFLT_ROUNDING) = ROUND_HALF_EVEN 备份暂挂= NO数据库是一致的= NO前滚暂挂= NO复原暂挂= NO启用的多页文件分配= YES恢复状态的日志保留= NO日志记录状态的用户出口= NO自调整内存(SELF_TUNING_MEM) = ON数据库共享内存大小（4KB）(DATABASE_MEMORY) = AUTOMATIC数据库内存阈值(DB_MEM_THRESH) = 10锁定列表的最大存储量（4KB）(LOCKLIST) = AUTOMATIC每个应用程序的锁定百分比列表(MAXLOCKS) = AUTOMATIC程序包高速缓存大小（4KB）(PCKCACHESZ) = AUTOMATIC共享排序的排序堆域值（4KB）(SHEAPTHRES_SHR) = AUTOMATIC排序列表堆（4KB）(SORTHEAP) = AUTOMATIC数据库堆（4KB）(DBHEAP) = AUTOMATIC目录高速缓存大小（4KB）(CATALOGCACHE_SZ) = 260日志缓冲区大小（4KB）(LOGBUFSZ) = 98实用程序堆大小（4KB）(UTIL_HEAP_SZ) = 23665缓冲池大小（页）(BUFFPAGE) = 250SQL 语句堆（4KB）(STMTHEAP) = AUTOMATIC缺省应用程序堆（4KB）(APPLHEAPSZ) = AUTOMATIC 应用程序内存大小（4KB）(APPL_MEMORY) = AUTOMATIC 统计信息堆大小（4KB）(STAT_HEAP_SZ) = AUTOMATIC检查死锁的时间间隔（毫秒）(DLCHKTIME) = 10000锁定超时（秒）(LOCKTIMEOUT) = -1更改的页阈值(CHNGPGS_THRESH) = 80异步页清除程序的数目(NUM_IOCLEANERS) = AUTOMATIC I/O 服务器的数目(NUM_IOSERVERS) = AUTOMATIC索引排序标志(INDEXSORT) = YES顺序检测标志(SEQDETECT) = YES缺省预取大小（页）(DFT_PREFETCH_SZ) = AUTOMATIC跟踪修改的页数(TRACKMOD) = OFF容器的缺省数目= 1缺省表空间扩展数据块大小(页) (DFT_EXTENT_SZ) = 32最大活动应用程序数(MAXAPPLS) = AUTOMATIC活动应用程序的平均数目(AVG_APPLS) = AUTOMATIC每个应用程序的最大打开数据库文件数(MAXFILOP) = 32768日志文件大小（4KB）(LOGFILSIZ) = 1024主日志文件的数目(LOGPRIMARY) = 13辅助日志文件的数目(LOGSECOND) = 4已更改的至日志文件的路径(NEWLOGPATH) =日志文件路径= D:\DB2\NODE0000\SQL00005\SQLOGDIR\ 溢出日志路径(OVERFLOWLOGPATH) =镜像日志路径(MIRRORLOGPATH) =首个活动日志文件=磁盘上已满的块日志(BLK_LOG_DSK_FUL) = NO事务使用的最大主日志空间的百分比（MAX_LOG）= 01 个活动UOW 的活动日志文件的数目(NUM_LOG_SPAN) = 0组落实计数(MINCOMMIT) = 1软检查点前回收的日志文件的百分比(SOFTMAX) = 520启用的恢复的日志保留(LOGRETAIN) = OFF启用的日志记录的用户出口(USEREXIT) = OFFHADR 数据库角色= STANDARDHADR 本地主机名(HADR_LOCAL_HOST) =HADR 本地服务名称(HADR_LOCAL_SVC) =HADR 远程主机名(HADR_REMOTE_HOST) =HADR 远程服务名称(HADR_REMOTE_SVC) =远程服务器的HADR 实例名(HADR_REMOTE_INST) =HADR 超时值(HADR_TIMEOUT) = 120HADR 日志写同步方式(HADR_SYNCMODE) = NEARSYNCHADR 对等窗口持续时间（秒）(HADR_PEER_WINDOW) = 0第一个日志归档方法(LOGARCHMETH1) = OFFlogarchmeth1 的选项(LOGARCHOPT1) =第二个日志归档方法(LOGARCHMETH2) = OFFlogarchmeth2 的选项(LOGARCHOPT2) =故障转移日志归档路径(FAILARCHPATH) =错误时重试日志归档次数(NUMARCHRETRY) = 5日志归档重试延迟（秒）(ARCHRETRYDELAY) = 20供应商选项(VENDOROPT) =启用的自动重新启动(AUTORESTART) = ON索引重新创建时间和重做索引构建(INDEXREC) = SYSTEM (RESTART) 在索引构建期间记录页(LOGINDEXBUILD) = OFFloadrec 会话的缺省数目(DFT_LOADREC_SES) = 1要保留的数据库备份的数目(NUM_DB_BACKUPS) = 12恢复历史记录保留时间（天数）(REC_HIS_RETENTN) = 366自动删除恢复对象(AUTO_DEL_REC_OBJ) = OFFTSM 管理类(TSM_MGMTCLASS) =TSM 节点名(TSM_NODENAME) =TSM 所有者(TSM_OWNER) =TSM 密码(TSM_PASSWORD) =自动维护(AUTO_MAINT) = ON自动数据库备份(AUTO_DB_BACKUP) = OFF自动表维护(AUTO_TBL_MAINT) = ON自动runstats (AUTO_RUNSTATS) = ON自动语句统计信息(AUTO_STMT_STATS) = OFF自动统计信息概要分析(AUTO_STATS_PROF) = OFF自动概要文件更新(AUTO_PROF_UPD) = OFF自动重组(AUTO_REORG) = OFF启用XML 字符操作(ENABLE_XMLCHAR) = YESWLM 收集时间间隔（分钟）(WLM_COLLECT_INT) = 0db2 =>修改对应的参数，使用命令：update db cfg [for dbname] using <参数名> <参数值>db2 => update db cfg using logretain onDB20000I UPDATE DATABASE CONFIGURATION命令成功完成。

Oracle数据库安全配置基线
简介
本文档旨在提供Oracle数据库的安全配置基线指南，以帮助确保数据库的安全性。

通过按照以下步骤进行配置，可以减少潜在的安全威胁和风险。

配置步骤
以下是Oracle数据库安全配置的基线步骤：
1. 安装最新的数据库补丁：确保在安装数据库之前，先安装最新的补丁程序，以修复已知的安全漏洞。

2. 禁用默认的系统帐户：在部署数据库之前，禁用默认的系统帐户（如SYSTEM、SYS、SYSMAN等），并创建自定义的管理员帐户。

3. 启用密码复杂性检查：使用强密码策略，确保数据库用户的密码具备足够的复杂性和强度。

4. 实施账户锁定策略：设置账户锁定策略，限制登录失败的次数，以防止暴力。

5. 限制数据库访问权限：核实数据库用户的访问权限，仅赋予他们所需的最低权限，以限制潜在的恶意操作。

6. 启用审计功能：启用Oracle数据库的审计功能，记录和监控数据库的所有活动，便于发现潜在的安全威胁。

7. 启用网络加密：使用SSL/TLS等加密协议，确保数据库与客户端之间的通信是安全和加密的。

8. 实施备份和恢复策略：定期备份数据库，并测试恢复过程，以防止数据丢失和灾难恢复。

9. 定期审查和更新安全配置：定期审查数据库的安全配置，并根据最新的安全标准和最佳实践的推荐，更新配置以提高安全性。

总结
通过遵循以上基线配置步骤，可以帮助提高Oracle数据库的安全性。

然而，在实际应用中，还应根据具体情况进行定制化的安全配置，并持续关注新的安全威胁和漏洞，及时进行更新和升级。

DB2数据库安全配置基线.预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制DB2数据库系统安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1适用范围 (4)1.2适用版本 (4)1.3实施 (4)1.4例外条款 (4)第2章帐号与口令 (4)2.1帐号 (4)2.1.1删除不必要的帐号* (4)2.1.2分配数据库用户所需的最小权限* (5)2.2口令 (5)2.2.1DB2用户口令安全 (5)第3章数据库权限 (7)3.1从PUBLIC撤销隐式的权限和特权 (7)3.1.1从PUBLIC撤销隐式的权限和特权 (7)3.2跟踪隐式的特权 (9)3.2.1跟踪隐式的特权 (9)3.3检查用户许可和特权 (9)3.3.1检查用户许可和特权* (9)第4章DB2认证 (11)4.1为SYS XXX_GROUP参数使用显式值 (11)4.1.1为SYSxxx_GROUP 参数使用显式值 (11)4.2使用加密的AUTHENTICATION模式 (11)4.2.1使用加密的AUTHENTICATION模式 (11)第5章DB2审计 (13)5.1执行随机安全审计 (13)5.1.1执行随机安全审计* (13)第6章评审与修订 (14)第1章概述本文档旨在指导系统管理人员或安全检查人员进行DB2数据库系统的安全合规性检查和配置。

1.1 适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。

1.2 适用版本DB2数据库系统。

1.3 实施1.4 例外条款第2章帐号与口令2.1 帐号2.1.1删除不必要的帐号*2.1.2分配数据库用户所需的最小权限*2.2 口令2.2.1DB2用户口令安全第3章数据库权限3.1 从PUBLIC撤销隐式的权限和特权3.1.1从PUBLIC撤销隐式的权限和特权3.2 跟踪隐式的特权3.2.1跟踪隐式的特权3.3 检查用户许可和特权3.3.1检查用户许可和特权*第4章DB2认证4.1 为SYSxxx_GROUP 参数使用显式值4.1.1为SYSxxx_GROUP 参数使用显式值4.2 使用加密的AUTHENTICATION模式4.2.1使用加密的AUTHENTICATION模式第5章DB2审计5.1 执行随机安全审计5.1.1执行随机安全审计* 第6章评审与修订。

数据库安全基线标准全文共四篇示例，供读者参考第一篇示例：数据库安全基线是数据库安全管理的重要组成部分，也是数据安全保障的基础。

建立数据库安全基线标准是为了规范数据库安全管理，保障数据的可靠性、完整性和机密性，防止数据泄露和数据被恶意篡改。

在本文中，我们将探讨数据库安全基线标准的重要性、内容和实施方法。

一、数据库安全基线标准的重要性1. 数据库是企业重要资产之一，包含了企业的核心业务数据、客户信息、人事信息等重要数据。

一旦数据库遭受到攻击或数据泄露，可能会对企业造成巨大的经济损失和声誉损害。

2. 数据库安全基线标准是规范企业数据库安全管理的重要依据，通过建立数据库安全基线标准可以确保数据库系统的安全性和稳定性。

4. 遵循数据库安全基线标准可以减少数据库系统的漏洞和脆弱性，提高数据库系统的抗攻击能力，降低安全风险，保护企业数据安全。

1. 认证和授权管理：规定数据库管理员的身份认证和授权管理机制，明确数据库管理员的权限和责任。

2. 数据备份与恢复：规定数据库的备份和恢复策略，确保数据库数据的可靠性和完整性。

3. 数据加密技术：规定敏感数据的加密机制和加密算法，保护数据的机密性。

4. 审计和监控：规定数据库审计和监控机制，实时监测数据库运行状态，发现异常行为。

5. 数据安全策略：规定数据库安全策略，包括访问控制、密码策略、会话管理等，确保数据的安全性。

6. 异地备份和灾难恢复：规定异地备份和灾难恢复计划，防止因自然灾害或人为原因造成的数据丢失。

7. 安全更新和漏洞修复：规定数据库软件的定期更新和漏洞修复机制，确保数据库系统安全。

8. 员工安全培训：规定员工数据库安全培训计划，提高员工的安全意识和技能。

1. 制定数据库安全基线标准：企业应根据自身特点和需求，制定符合实际情况的数据库安全基线标准，并明确责任人和执行时间。

2. 实施安全技术措施：通过加密技术、认证授权、安全审计、访问控制等技术手段，加强数据库系统的安全防护。