數據庫安全配置

數據庫的安全配置主要內容包括用戶賬號、訪問、加密、防惡、加固方面的內容，不包含備份恢復方面的內容。具體如下：

1、OS：數據庫所基于的操作系統應同樣滿足公司制定的技術規范。

2、補丁：應在不影響系統正常運行的前提下，通過打補丁的方式提升數據庫的安全性。3、審計：應根據實際情況有選擇性地開啟數據庫審計功能。

4、用戶管理：

1）用戶賬號的權限應遵循最小化原則。

2）應修改系統內置的特權賬號的默認密碼，防止數據庫受到未經授權的訪問。

3）賬號密碼的強度應符合安全規范。

5、傳輸加密：通過加密傳輸通道防止傳輸內容被非法獲取或修改。

6、權限設置：去除部分角色在數據庫中的連接與執行權限。

7、其他：根據各數據庫的特性所規定的安全配置規范。

上述安全配置要求分為兩類：必選項與可選項。數據庫必須符合必選項的安全配置要求，并由公司安全部門定期進行檢查。可選項的安全配置要求作為加強數據庫安全的參考。

數據庫的必選項包括：用戶管理、權限設置、TNSListener。詳細配置要求見下文。

Oracle

1.OS

·必須確保Oracle數據庫所在的服務器的操作系統是經過安全配置的，具體配置參考《IT系統平臺安全配置指南》。

2.數據庫補丁

安全部門應對影響業務數據機密性、保密性、完整性或其他必需的安全屬性的安全補丁進行分析并測試，評估其對生產環境的影響和必要性，如無影響方可安裝補丁，具體補丁安裝流程參考《安全補丁更新流程》。

3.審計

·如果終端用戶數量不多，建議開啟登陸審計；對于終端用戶很多的系統，開啟登陸審計將嚴重影響數據庫的性能，不建議開啟登陸審計。其他審計根據各自的應用系統安全需要自行決定是否開啟。對于使用中間件的應用系統，數據庫的登陸審計無效。

4.用戶管理

1）如果沒有特殊情況，應該確保只有一個DBA權限用戶。

2）創建用戶應該分配特定的角色，該角色是滿足其任務所需的最小權限組合。

3）更改具有DBA權限的內置Oracle用戶密碼，例如sys、system、mdsys、ctxsys、wksys、sysman、dbsnmp、odm、odm_mtr、ordplugins、ordsys、outln、scott、wk_proxy、wmsys、xdb、tracesvr、oas_public、websys、lbacsys、rman、perfstat、exfsys、si_informtn_schema等。

4）設置數據庫用戶的失敗登錄次數，賬號最長使用時間，賬號復雜性等策略（如FAILED_LOGIN_ATTEMPTS=3、PASSWORD_LIFE_TIME=90、PASSWORD_REUSE_MAX=5等），具體策略設置參考《集中賬號安全管理流程》。

5.傳輸信息加密

1）配置Oracle加密傳輸認證口令（DBLINK_ENCRYPT_LOGIN＝ture）。

2）如果傳輸其他敏感信息，加密。

6.權限設置

1）如果沒有必要，去除CONNECT角色擁有的創建存儲過程與數據庫鏈接的權限。

2）取消public在下面package上的執行權限：

3）UTL_SMTPUTL_TCPUTL_HTTPUTL_FILEUTL_RANDOMDBMS_LOB

4）DBMS_SYS_SQLDBMS_JOB

7.TNSListener

1）設置Listener密碼，密碼規范按照相關規定。

2）開啟adminrestriction，保護特定的命令不能遠程執行。

通過在文件listener.ora中設置ADMIN_RESTRICTIONS_<listenername>為ON可以阻止所有在運行時對監聽器的修改。

在對listener.ora文件修改后，使用lsnrctlreload命令（或者先lsnrctlstop再lsnrctlstart）使修改生效，不能直接用命令修改。

SQLServer

1.OS

1）必須確保Oracle數據庫所在的服務器的操作系統是經過安全配置的，具體配置參考《IT系統平臺安全配置指南》。

2.數據庫補丁

全部門應對影響業務數據機密性、保密性、完整性或其他億咖通必需的安全屬性的安全補丁進行分析并測試，評估其對生產環境的影響和必要性，如無影響方可安裝補丁，具體補丁安裝流程參考《安全補丁更新流程》。

3.審計

至少開啟數據庫登錄審計，其他審計根據需要另外開啟。

4.用戶管理

1）如果沒有特殊情況，應該確保sysadm組中只有一個用戶。

2）創建用戶應該分配特定的角色，該角色是滿足其任務所需的最小權限組合。

5.傳輸信息加密

如果傳輸敏感信息，加密客戶端與數據庫之間的通信流量。

6.權限設置

取消除了master與tempdb外guest用戶的訪問權限。其他

7.其他

1）如果沒有使用，刪除如下擴展存儲過程：

xp_cmdshell

xp_OACreatexp_OADestoryxp_OAGetErrorInfoxp_OAGetProperty

xp_OAMethodxp_SetPropertyxp_OAStop

xp_dirtree

2）采用windows與SQLServer混合認證方式。

3）刪除樣例數據庫pubs與northwind。