数据库安全检查表.xls

数据库安全检查表.xls检查项目检测内容说明
帐号及口令安全是否删除不必要的帐号应删除与数据库运行、维护等工作无关的帐号
检查用户口令是否符合安全规范 ,包括空密码、密码更新时间等。
,确认为强口令。口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
。

特别说明:如省公司反映有可能影响业务,则应对应采取必要的监控手段,要求在帐号进行暴力破解或恶意尝试时,需要能及时发现

安全策略是否使用加密的AUTHENTICATION模式检查是否使用了加密的认证模式
Db2 认证方式:
SERVER
SERVER_ENCRYPT
CLIENT
DCS
DCS_ENCRYPT
DCE
DCE_SERVER_ENCRYPT
KERBEROS
KRB_SERVER_ENCRYPT
检查是否为SYSxxx_GROUP 参数使用显式值为SYSxxx_GROUP参数使用显式值
检查是否从PUBLIC撤销隐式的权限和特权当一个用户创建一个数据库对象时,数据库管理器会隐式地将一些特权授给用户
检查是否设置跟踪隐式的特权当一个用户创建一个数据库对象或数据库授权等操作时,数据库管理器会隐式地将一些特权授给用户

授权安全是否分配数据库用户所需的最小权限在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限
检查用户许可和特权检查当前用户权限,合理管理权限。需根据业务情况进行调整

日志安全是否执行随机安全审计应该对数据库执行随机安全审计。您也可以在得使您相信有人试图威胁系统安全的信息后,执行审计

安全补丁检查数据库版本是否过旧检查DB2数据库版本,查看是否为最新版,如此版本存在漏洞,则进行升级。
检查是否更新了补丁更新补丁,减少系统安全隐患。
通过db2level获取的修补代码与修订包发行号进行比较。
如果两者结果不同,那么意味着没有安装相应的修订包
查找最近的DB2补丁下载网址和目录:
/cn/support/
viewdoc/detail?DocId=1747131000002
在升级数据库系统的时候,用户可以使用db2imigr命令把现存的v6,v7版本的实例(Instance)升级到v8版本。升级工作在完成DB2 UDB v8的安装后进行。在具体进行升级工作的时候,用户应该注意以下几个方面的问题:
1 )在升级的时候,用户必须以具有root权限的用户身份登录;
2 )检查是否拥有至少20 MB的/tmp自由空间,在升级过程中DB2会利用这部分空间写入升级追踪文件(trace file);
3 )建议首先手动执行db2ckmig命令,检查是否有阻碍升级的问题存在,如果有问题存在,首先排除这些问题,再执行升级的命令;
4 )如果用户的环境是Linux,则DB2实例的版本必须在v6 fixpack 2以上;如果是用Data Joiner建立的实例,则Data ;
5) 如果用户是从一个未分区的DB2版本将实例升级到一个分区的数据库版本,则用户必须首先使用db2iupdt命令对实例进行更新。


检查方法检查脚本
脚本方法一:
DB2企业管理器-〉安全性-〉登陆中删除无关帐号;
DB2企业管理器-〉数据库-〉对应数据库-〉用户中删除无关帐号;
方法二:
1. 以root身份登陆
2. lsuser db2inst1;lsuser db2fenc1;lsuser db2as
3. unix上DB2用户默认的口令为ibmdb2;NT上为db2admin
4. 口令策略以及口令的更改同操作系统用户。
接受4A管理的检查说明:
若本项已纳入4A进行管理,省公司需提交相关的帐号和使用说明,并在现场检查时登录4A系统进行检查
基线工具

查看用户状态
运行查询分析器,查看口令为空的用户

人工检查$db2 get dbm cfg|grep "AUTH" # 输出结果类似:
Database manager authentication (AUTHENTICATION) = SERVER
Cataloging allowed without authority (CATALOG_NOAUTH) = NO
Trusted client authentication (TRUST_CLNTAUTH) = CLIENT
基线工具$db2 get dbm cfg|grep "SYS"
基线工具$db2 get dbm cfg|grep "public"
基线工具运行