安全指南--DB2安全配置

目录1.范围22.术语和定义23.安全检查清单2检查3.1系统和DB2数据库版本23.2检查DB2数据库补丁程序23.3验证DB2数据库配置信息23.4检查权限33.5确保数据库调试和开发环境是分开的43.6认证43.7审计53.8验证备份策略63.9验证是否设置了良好的日志管理策略61.范围本节提供在网络系统上使用的DB2数据库应用程序的安全检查说明。2.术语和定义无。3.安全检查列表检查3.1系统和DB2数据库版本1) oslevel命令确定系统版本2) DB25.2或更高版本中db2level命令的输出提供了有关DB2实例的版本和修补程序级别的详细信息。3.2检查DB2数据库补丁程序将通过Db2level获取的修补程序代码与修复软件包发行版编号进行比较。如果结果不同，则表示未安装相应的修订包以找到最新的DB2 FixPaks:http:/www-4 . IBM.com/CGI-bin/DB2 www/data/DB2/udb/winos 2 UNIX/support/download . d2w/repport3.3查看DB2数据库配置信息1.确认安全密码策略增强的密码设置，将最小密码长度设置为8个或更多字符，包括字母、数字和特殊字符(1)。确认使用者密码修改时间(2)。定期修改用户密码2.是否实施严格的密码3.确认帐户策略1)检查是否存在不必要的基本用户或测试用户2)检查不需要的用户和用户拥有的对象是否存在3)确保应用程序或脚本中记录了DBA或其他帐户的口令4.查看数据库概要文件权限1)系统中的实例越多越不好。在系统中创建太多实例不仅会消耗更多资源(内存、硬盘空间等)，而且会增加管理开销。确保在创建每个实例后配置文件，在创建每个数据库后配置文件采取了安全措施2)检查恢复历史记录文件是否采取了安全措施3)确保合理管理数据库软件安装目录3.4检查权限DB2访问控制层确保向DB2用户授予了不同级别的权限和不同的权限。1.检查SYSADM、SYSCTRL和SYSMAINT权限分配2.检查DBADM和LOAD权限分配3.确保每个实例都有单独的权限管理，并且每个实例都设置了不同的管理员4.验证用户对象权限的使用：CONTROL、INSERT、DELETE、CREATEIN、DROPIN、REFERENCES和SELECT5.检查数据库级别权限的使用情况，例如：3) CREATETAB:允许用户在数据库中创建表。4) BINDADD:用户可以使用bind命令在数据库中创建软件包5) ONNECT:允许用户连接到数据库。6) CREATE_NOT_FENCED:允许用户创建未分离的自定义函数7) IMPLICIT_SCHEMA:用户可以在数据库中隐式创建方案(SCHEMA)，而无需使用CREATE SCHEMA命令等。3.5确保数据库调试和开发环境是分开的直接在提供正式数据服务的实例中对进行各种调试和开发可能会影响系统的性能，并可能导致整个系统停机。使用者可以建立新的执行处理，在新的执行处理内除错和开发。每个执行处理都有自己的记忆体空间，一个执行处理的工作不会干扰其他执行处理正常的资料库服务。3.6认证是否根据业务系统环境要求，对实例或数据库访问采取了相应的验证方法。要访问实例或数据库，必须首先验证用户。每个实例的身份验证类型决定用户身份验证方法和位置。验证类型在数据库管理员配置文件中指定。创建实例时的初始设置。每个实例都有一种验证类型，用于控制对实例及其控制的所有数据库的访问。3.7审计确保配置了正确的事件监视程序，事件监视程序记录每个DB2事件的里程碑发生情况。这使用户可以收集有关死锁、连接、SQL语句等瞬时事件的信息。监视功能的性能影响基于监视事件的频率和为每个事件捕获的数据量。根据事件监视程序的定义，每个快照监视程序都可以由DB2立即调用每个快照监视程序并调用事件监视程序。1.是否为数据库中每个表的数据库活动信息提供下一级别的快照1) Database Monitor(数据库管理员)-捕获活动实例的信息2)数据库捕获所有数据库或一个数据库的信息3)应用程序捕获所有应用程序或个别应用程序的信息4)Table Space-捕获数据库中各个表空间的信息5) Table(表)-捕获数据库中各个表的信息6)锁定捕获使用数据库的应用程序拥有的各种锁定的相关信息2.配置事件监视是否声明要监视的事件类型。发生以下事件时，将记录相应的事件记录：1) DATABASE当最后一个应用程式脱离资料库时，记录下列记录日志：2) TABLES记录上次应用程序与数据库分离时每个活动表的事件记录。3) DEADLOCKS 记录每个死锁的事件日志。4) TABLESPACES 当最后一个应用程式脱离资料库时，记录每个作用中表格空间的记录日志。5) CONNECTIONS当应用程序与数据库断开连接时，记录每个数据库连接事件的事件日志。6) statements 记录应用程序发出的每个SQL语句(动态或静态)的事件日志记录。7) transactions 记录交易完成(COMMIT或ROLLBACK)时的交易记录。注：过度监视将对DB2数据库及其应用程序的性能产生不利影响3.事件监视的输出保存在目录或命名管道(pipe)中，如果该输出被正确管理并保存在目录中，则检查是否考虑文件空间的使用3.8审查备份战略确保在数据库系统为Dow