中国人民银行信息系统安全配置指引
数据库分册
(V1.0)
中国人民银行科技司
2007年5月
目录
一、前言 (3)
1.适用范围 (3)
2.使用方式 (3)
3.验证说明 (3)
4.差异性说明 (3)
二、* 通用指引 (4)
1、建立专用帐户 (4)
2、安装最新的补丁程序 (4)
3、“最小权限原理” (4)
4、数据库备份数据 (4)
5、远程管理功能 (4)
6、加密 (4)
7、修改密码 (4)
8、视图进行数据屏蔽 (4)
9、基于B/S结构的应用程序开发 (4)
10、日志审计 (5)
11、备份缺省系统管理员帐户 (5)
三、DB2 (5)
1、 用户安全 (5)
1.1 * 设置密码 (5)
1.2 认证方式 (5)
1.3 * 设置管理员组 (5)
2 权限控制 (6)
2.1 * 严格控制对系统CATALOG的访问授权 (6)
2.2 撤销PUBLIC组的权限 (6)
2.3 * 严格限制参数 WITH GRANT OPTION的使用 (7)
2.4 访问控制(LBCA) (7)
2.5 RESTRICTIVE 参数 (7)
3 * 审计 (7)
4 * 状态监控 (8)
4.1对主要的性能指标进行监控 (8)
4.2对系统的关键资源进行监控 (8)
四、Oracle (8)
1* 用户安全 (8)
2 * 权限控制 (8)
3 限制特定IP访问数据库 (9)
4 * 保护数据字典 (9)
5 * 防止远程机器直接登录数据库服务器 (9)
6 * 启用profile 管理 (9)
7 * 日志及日志清理 (10)
五、SQL Server2000 (10)
1 * 用户安全 (10)
1.1 密码 (10)
1.2 身份验证 (11)
2 网络安全 (11)
2.1 * 对网络连接进行IP限制,更改默认的端口 (11)
2.2 使用SSL来加密协议 (11)
3 * 删除后门 (11)
3.1 删除可以直接运行系统命令的存储过程:xp_cmdshell (11)
3.2 删除能访问注册表的存储过程 (11)
银行为什么用db2数据库3.3 删除OLE存储过程 (12)
3.4 删除其他有一定安全隐患的存储过程 (12)
4 * 日志 (12)
一、前言
本指引是中国人民银行信息系统安全体系的一部分,旨在从技术上加固信息系统数据库的安全性。其中指引部分是信息系统开发、实施及维护的技术安全参考依据。
1.适用范围
适用于中国人民银行新开发计算机应用系统及现有计算机应用系统的数据库的安全配置。
2.使用方式
a.对于新开发的应用系统,按照本指引相关内容配置,特殊情况应逐条书面说明,相关说明与开发文档共同备案。应用系统上线验收应包括对本文档相关内容逐条检查配置情况,并在验收文档中给予说明。
b.对于目前的生产环境,必须逐条在测试环境下测试,确保不影响应用系统的正常运行前提下,方能修改生产系统的相关配置。
c.凡“*”标注的配置为最基本的安全要求,是必做项,其余为选做项。
3.验证说明
目前安全配置命令已在测试环境下测试验证。
4.差异性说明
不同操作系统下的同一数据库,环境参数有所不同。
不同版本的同一数据库,环境参数有所不同。
二、* 通用指引
1、建立专用帐户
在操作系统中为数据库系统建立专用帐户(授予必要权限),并以此帐户身份安装和运行数据库系统。除非特殊情况,建议不要以超级用户或系统管理员用户的帐户安装和运行数据库系统。
2、安装最新的补丁程序
包括对数据库系统安装和数据库系统所在的操作系统均需安装。
3、“最小权限原理”
对数据库用户的权限设置遵守“必不可少”原则和仅“必不可少”原则。
4、数据库备份数据
确保数据的可靠性和可用性。
5、远程管理功能
原则上应关闭远程管理功能,实际工作中若需要启用该功能,应对远程登陆的计算机进行备案后,才能有条件放开远程管理。
6、加密
对数据库连接采用加密方式进行,不要采用明文在网络上进行通讯。
7、修改密码
对数据库用户密码(如无特殊情况),规定3个月必须修改一次。可能一些用户密码修改后,会发生应用程序无法运行的情况,因此在修改密码之前需要特别注意。
8、视图进行数据屏蔽
使用视图对数据库中敏感数据表中数据进行屏蔽,从而控制对数据的“不合适”查看。
9、基于B/S结构的应用程序开发
必须考虑SQL注入攻击对数据库带来的安全隐患。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论