1、DB2數據庫系統安全配置基線版本版本控制信息|更新日期更新人審批人V1.0創建2009年1月V2.0更新2012年4月備注：1.若此文檔需要日后更新，請創建人填寫版本控制表格，否則刪除版本控制表格。第1章概述41.1 適用范圍41.2 適用版本41.3 實施41.4 例外條款4第2章帳號與口令42.1 帳號42.1.1 刪除不必要的帳號* 42.1.2 分配數據庫用戶所需的最小權限* 52.2 口令52.2.1 DB2用戶口令安全5第3章數據庫權限73.1 從PUBLIC撤銷隱式的權限和特權 73.1.1 從PUBLIC撤銷隱式的權限和特權 73.2 跟蹤隱式的特權 93.2.1 跟蹤隱式的特

2、權93.3 檢查用戶許可和特權 93.3.1 檢查用戶許可和特權* 9第4章 DB2認證114.1 為SYSXXX_GROUP參數使用顯式值 114.1.1 為SYSxxx_GROUP參數使用顯式值 114.2 使用加密的 AUTHENTICATION 模式 114.2.1 使用加密的 AUTHENTICATION 模式11第5章 DB2審計135.1 執行隨機安全審計 135.1.1 執行隨機安全審計* 13第6章 評審與修訂14第1章概述本文檔旨在指導系統管理人員或安全檢查人員進行DB2數據庫系統的安全合規性檢查和配置。1.1 適用范圍本配置標準的使用者包括：數據庫管理員、應用管理員、網絡

3、安全管理員。1.2 適用版本DB2數據庫系統。1.3 實施1.4 例外條款第2章帳號與口令2.1帳號2.1.1 刪除不必要的帳號*安全基線項 目名稱數據庫管理系統DB2用戶安全基線要求項安全基線SBL- DB2-02-01-01安全基線項 說明應刪除與數據庫運行、維護等工作無關的帳號。檢測操作步 驟1、 參考配置操作DB2企業管理器- 安全性- 登陸中刪除無關帳號；DB2企業管理器-數據庫-對應數據庫-用戶中刪除無關帳號；基線符合性 判定依據首先刪除不需要的用戶，已刪除數據庫不能登陸使用在DB2查詢分析器的登陸界面中使用已刪除帳號登陸備注手工檢查2.1.2 分配數據庫用戶所需的最小權限*安全基

4、線項 目名稱數據庫管理系統DB2共享帳號安全基線要求項安全基線SBL- DB2-02-01-02安全基線項 說明在數據庫權限配置能力內，根據用戶的業務需要，配置其所需的最小權限。檢測操作步 驟1 .更改數據庫屬性，取消業務數據庫帳號不需要的服務器角色；2 .更改數據庫屬性，取消業務數據庫帳號不需要的“數據庫訪問許可”和 “數據庫角色中允許”中不需要的角色。基線符合性 判定依據1 .更改數據庫屬性，取消業務數據庫帳號不需要的服務器角色；2 .更改數據庫屬性，取消業務數據庫帳號不需要的“數據庫訪問許可”和 “數據庫角色中允許”中不需要的角色。備注建議手工檢查2.2 口令2.2.1 DB2用戶口令安

5、全安全基線項 目名稱數據庫管理系統DB2用戶口令安全基線要求項安全基線SBL- DB2-02-02-01安全基線項 說明對用戶的屬性進行安全檢查，包括空密他、密他更新時間等。修改目前所有帳號的口令，確認為強口令。口令長度至少8位，并包括數字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內不得設置相同的口令。密碼應至少每90天進行更換。檢測操作步 驟1 .檢查password子段是否為 null。2 .參考配置操作查看用戶狀態運行查詢分析器，查看口令為空的用戶基線符合性 判定依據password 字段不為 null。備注第3章數據庫權限3.1 從PUBLIC撤銷隱式的權限和特權3.1.1

6、 從PUBLIC撤銷隱式的權限和特權安全基線項 目名稱DB2隱式權限安全基線要求項安全基線編 號SBL-DB2-03-01-01安全基線項 說明從PUBLIC撤銷隱式的權限和特權檢測操作步 驟連接數據庫這里以 testdb為例，CONNECT TO testdb;執行下面命令取消 PUBLIC的隱式的權限和特權：REVOKE BINDADD ON DATABASE FROM PUBLIC;REVOKE CREATETAB ON DA TABASE FROM PUBLIC;REVOKE CONNECT ON DATABASE FROM PUBLIC;REVOKE IMPLICIT_SCHEMA

7、ON DA TABASE FROM PUBLIC;REVOKE USE OF TABLESPACE USERSPACE1 FROM PUBLIC;REVOKE SELECT ON TABLE SYSCA T.COLAUTH FROM PUBLIC;REVOKE SELECT ON TABLE SYSCA T.DBAUTH FROM PUBLIC;REVOKE SELECT ON TABLE SYSCA T.INDEXAUTH FROM PUBLIC;REVOKE SELECT ON TABLE SYSCA T.PACKAGEAUTH FROM PUBLIC;REVOKE SELECT ON T

8、ABLE SYSCA T.PASSTHRUAUTH FROM PUBLIC;REVOKE SELECT ON TABLE SYSCA T.ROUTINEAUTH FROM PUBLIC;REVOKE SELECT ON TABLE SYSCA T.SCHEMAAUTH FROM PUBLIC;REVOKE SELECT ON TABLE SYSCAT.SECURITYLABELACCESS FROMPUBLIC;REVOKE SELECT ON TABLE SYSCAT.SECURITYPOLICYEXEMPTIONSFROM PUBLIC;REVOKE SELECT ON TABLE SYS

9、CA T.SEQUENCEAUTH FROM PUBLIC;REVOKE SELECT ON TABLE SYSCAT.SURROGATEAUTHIDSFROMPUBLIC;REVOKE SELECT ON TABLE SYSCA T.TABAUTH FROM PUBLIC;REVOKE SELECT ON TABLE SYSCA T.TBSPACEAUTH FROM PUBLIC;REVOKE SELECT ON TABLE SYSCA T.XSROBJECTAUTHFROM PUBLIC;REVOKE SELECT ON TABLE SYSCAT.AUTHORIZATIONIDS FROM

10、PUBLIC;REVOKE SELECT ON TABLE SYSCA T.OBJECTOWNERS FROM PUBLIC;REVOKE SELECT ON TABLE SYSCA T.PRIVILEGES FROM PUBLIC;基線符合性 判定依據建議在創建一個新的數據庫之后，應立即撤銷這些被授給PUBLIC的隱式特權。從 DB2 V9.1 開始，CREATE DATABASE 命令語法增力了 RESTRICTIVE 選項。如果該命令中包括了 RESTRICTIVE 選項，那么會導致 RESTRICT_ACCESS 數據庫配置參數被設置為YES ,同時不自動授予PUBLIC 任何特權。如

11、果忽略了 RESTRICTIVE 選項， 那么 RESTRICT_ACCESS 數據庫配置參數被設置為NO ,前述所有特權都將自動所 PUBLIC。您可以執行上述清單中顯示的語句來撤銷系統編目視圖上的特權和其他被授予PUBLIC的隱式特權。但這個清單還不是最全的。備注DB2在內部使用一個名為PUBLIC 的偽組，對于 PUBLIC ,可以為之授予特權，也可以撤銷它的特權。PUBLIC實際上不是在外部安全設施中定義的一個組，但通過它可以為通過DB2認證的用戶授予特權。3.2 跟蹤隱式的特權3.2.1 跟蹤隱式的特權安全基線項 目名稱DB2隱式特權管理安全基線要求項安全基線編 號SBL-DB2-0

12、3-02-01安全基線項 說明跟蹤隱式的特權檢測操作步 驟運行get dbm cfg 查有狀態，并記錄。例如，假設您一開始將 DBADM權限授予用戶JEFF,而隨后又您決定撤銷此權限。為了撤銷JEFF的DBADM權限，可以使用以下語句：REVOKEDBADMONDATABASE FROM USER jeff基線符合性 判定依據應該仔細檢查和跟蹤執行某動作時所授予的隱式特權。如果以后撤銷這個動 作，那么應撤銷任何隱式的特權。備注3.3 檢查用戶許可和特權3.3.1 檢查用戶許可和特權*安全基線項 目名稱DB2用戶許可和特權安全基線要求項安全基線編 號SBL-DB2-03-03-01安全基線項 說

13、明檢查用戶許可和特權檢測操作步 驟打開Control Center查看授予許可;檢查每個用戶的許可，將超出的許可和特權取消。基線符合性 判定依據確保所有被授出的許可和特權都是確實有必要的。對于不熟悉DB2安全模型的開發人員來說，他們往往因為貪圖簡單而通過Control Center為自己授予所有可用的特權，以避免安全錯誤消息。您應該確保所有被授出的許可和權限都是確實有必要的。備注手工檢查第4章DB2認證4.1 為SYSxxx_GROUP參數使用顯式值4.1.1 為SYSxxx_GROUP 參數使用顯式值安全基線項 目名稱DB2SYSxxx_GROUP 參數安全基線要求項安全基線編 號SBL-D

14、B2-04-01-01安全基線項 說明為SYSxxx_GROUP 參數使用顯式值檢測操作步 驟連接數據庫這里以 testdb為例，CONNECT TO testdb;執行卜面命令修改參數的缺省值：UPDATE DBM CFG USING SYSADM_GROUP dbagrp1db2stopdb2start基線符合性 判定依據在Windows上進行缺省的DB2安裝時，這些參數的值被缺省地設置為NULL。這意味著超級用戶權限被授給屬于本地Administrators組的所有有效用戶帳戶。在Linux和UNIX平臺上，NULL值被缺省地賦給實例所有者的主組，完 成安裝后，缺省情況下這個組只包含用戶

15、ID和實例所有者。備注4.2 使用加密的 AUTHENTICATION 模式安全基線項目名稱4.2.1 使用加密的AUTHENTICATION 模式DB2AUTHENTICATION 模式安全基線要求項安全基線編 號SBL-DB2-04-02-01安全基線項 說明使用加密的AUTHENTICATION 模式檢測操作步 驟連接數據庫這里以 testdb為例，CONNECT TO testdb;執行下面命令修改參數的缺省值（要更新AUTHENTICATION實例參數的值，在這個例子中就是DATA_ENCRYPT 的值）：UPDATE DBM CFG USING AUTHENTICATION DA

16、TA_ENCRYPTdb2stopdb2start基線符合性 判定依據AUTHENTICATION 參數是在實例級上設置的，這意味著在相同實例中創建 的數據庫將使用共同的身份驗證模式。如果有兩個數據庫，每個數據庫需要小同的身份驗證模式，那么需要在不同的實例中創建這兩個數據庫。備注第5章DB2審計5.1 執行隨機安全審計5.1.1 執行隨機安全審計*安全基線項 目名稱DB2隨機安全審計安全基線要求項安全基線編 號SBL-DB2-05-01-01安全基線項 說明執行隨機安全審計檢測操作步 驟db2audit describe可以使用db2audit命令來配置和操作審計功能。完成審計的配置并且生成了審計記錄后，可以將審計記