如何提升服務器數據安全?
數據庫安全配置
數據庫的安全配置主要內容包括用戶賬號、訪問、加密、防惡、加固方面的內容,不包含備份恢復方面的內容。具體如下:
1、OS:數據庫所基于的操作系統應同樣滿足公司制定的技術規范。
2、補丁:應在不影響系統正常運行的前提下,通過打補丁的方式提升數據庫的安全性。3、審計:應根據實際情況有選擇性地開啟數據庫審計功能。
4、用戶管理:
1)用戶賬號的權限應遵循最小化原則。
2)應修改系統內置的特權賬號的默認密碼,防止數據庫受到未經授權的訪問。
3)賬號密碼的強度應符合安全規范。
5、傳輸加密:通過加密傳輸通道防止傳輸內容被非法獲取或修改。
6、權限設置:去除部分角色在數據庫中的連接與執行權限。
7、其他:根據各數據庫的特性所規定的安全配置規范。
上述安全配置要求分為兩類:必選項與可選項。數據庫必須符合必選項的安全配置要求,并由公司安全部門定期進行檢查。可選項的安全配置要求作為加強數據庫安全的參考。
數據庫的必選項包括:用戶管理、權限設置、TNS Listener。詳細配置要求見下文。
Oracle1. OS
· 必須確保Oracle 數據庫所在的服務器的操作系統是經過安全配置的,具體配置參考《IT 系統平臺安全配置指南》。
2. 數據庫補丁
安全部門應對影響業務數據機密性、保密性、完整性或其他必需的安全屬性的安全補丁進行分析并測試,評估其對生產環境的影響和必要性,如無影響方可安裝補丁,具體補丁安裝流程參考《安全補丁更新流程》。
3. 審計
· 如果終端用戶數量不多,建議開啟登陸審計;對于終端用戶很多的系統,開啟登陸審計將嚴重影響數據庫的性能,不建議開啟登陸審計。其他審計根據各自的應用系統安全需要自行決定是否開啟。對于使用中間件的應用系統,數據庫的登陸審計無效。
4. 用戶管理
1)如果沒有特殊情況,應該確保只有一個DBA 權限用戶。
2)創建用戶應該分配特定的角色,該角色是滿足其任務所需的最小權限組合。
3)更改具有DBA 權限的內置Oracle 用戶密碼,例如sys、system、mdsys、ctxsys、wksys、sysman、dbsnmp、odm、odm_mtr、ordplugins、ordsys、outln、scott、wk_proxy、wmsys、xdb、tracesvr、oas_public、websys、lbacsys、rman、perfstat、exfsys、si_informtn_schema等。
4)設置數據庫用戶的失敗登錄次數,賬號最長使用時間,賬號復雜性等策略(如FAILED_LOGIN_ATTEMPTS=3、PASSWORD_LIFE_TIME=90、PASSWORD_REUSE_MAX=5等),具體策略設置參考《集中賬號安全管理流程》。
5. 傳輸信息加密
1)配置Oracle 加密傳輸認證口令(DBLINK_ENCRYPT_LOGIN=ture)。
2)如果傳輸其他敏感信息,加密。
6. 權限設置
1)如果沒有必要,去除CONNECT 角色擁有的創建存儲過程與數據庫鏈接的權限。
2)取消public 在下面package 上的執行權限:
3) UTL_SMTP UTL_TCP UTL_HTTP UTL_FILE UTL_RANDOMDBMS_LOB
4)DBMS_SYS_SQL DBMS_JOB
7. TNS Listener
1)設置Listener 密碼,密碼規范按照相關規定。
2)開啟admin restriction,保護特定的命令不能遠程執行。
通過在文件 listener.ora 中設置 ADMIN_RESTRICTIONS_<listener name> 為 ON 可以阻止所有在運行時對監聽器的修改。
在對 listener.ora 文件修改后,使用 lsnrctl reload 命令(或者先lsnrctl stop再lsnrctl start)使修改生效,不能直接用命令修改。
SQL Server1. OS
1)必須確保Oracle 數據庫所在的服務器的操作系統是經過安全配置的,具體配置參考《IT 系統平臺安全配置指南》。
2. 數據庫補丁
全部門應對影響業務數據機密性、保密性、完整性或其他億咖通必需的安全屬性的安全補丁進行分析并測試,評估其對生產環境的影響和必要性,如無影響方可安裝補丁,具體補丁安裝流程參考《安全補丁更新流程》。
3. 審計
至少開啟數據庫登錄審計,其他審計根據需要另外開啟。
4. 用戶管理
1)如果沒有特殊情況,應該確保sysadm組中只有一個用戶。
2)創建用戶應該分配特定的角色,該角色是滿足其任務所需的最小權限組合。
5. 傳輸信息加密
如果傳輸敏感信息,加密客戶端與數據庫之間的通信流量。
6. 權限設置
取消除了master 與tempdb 外guest 用戶的訪問權限。其他
7. 其他
1)如果沒有使用,刪除如下擴展存儲過程:
xp_cmdshell
xp_OACreate xp_OADestory xp_OAGetErrorInfo xp_OAGetProperty
xp_OAMethod xp_SetProperty xp_OAStop
xp_dirtree
2)采用windows 與SQLServer 混合認證方式。
3)刪除樣例數據庫pubs 與northwind。