06.差距评估.安全计算环境之数据库

最新推荐文章于 2023-03-17 11:26:26 发布
最新推荐文章于 2023-03-17 11:26:26 发布
阅读量925 收藏 7
点赞数 1
分类专栏: # 等保2.0实操(完结)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oldmao_2001/article/details/109391668
版权

文章目录


本次从头梳理一下等保2.0涉及到的主要步骤:
等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。
定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评的安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。
本节继续分析安全计算环境中的数据库(服务器),这块内容在等保1.0中没有专门的测评项,只是针对服务器、口令管理、数据及备份这块有所涉及,当然,数据库有很多种:微软的SQL Server,甲骨文的Oracle、MySql,PostGreSQL,Informix,Sybase的SQL Anywhere,IBM的DB2等,每种数据库不同版本在操作上也会有差异,这里不可能把所有的数据库的测评操作都讲一遍,有兴趣的可以网上搜索一下某某数据库加固规范文档,这些文档会根据等保要求,给出详细的配置步骤,加固规范还有很多版本,下面看看几个基线加固的大纲。

数据库基线加固内容

总体要求

由于各个数据库支持的功能不一样,里面的对应等保要求实现方法以及程度不一样,具体可参考对应的加固基线。总体的要求如下:

  1. 账号与授权
    1)应按照用户分配账号,避免不同用户间共享账号;
    2)应删除或锁定与数据库运行、维护等工作无关的账号;
    3)删除过期账号;
    4)修改或禁用默认管理员账号名称,例如:sa,sys,sysdba等。
    5)在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
  2. 安全策略
    在数据库支持的范围内,设置和启用相应的安全策略,例如:SQL Server可以停用不必要的存储过程、加密通讯协议;Oracle可以限制超级用户远程登陆等
  3. 口令
    对于采用静态口令进行认证的数据库,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类(也有的行业要求2类即可)。
  4. 日志
    数据库应配置日志审计功能,并做好日志留存工作。
  5. 安全补丁
    在保证业务可用性的前提下,经过分析测试后(在非生产环境中),可以选择更新使用最新版本的补丁。这里具体可以以漏扫结果作为标准,如果漏扫没有问题,也可以不安装补丁。
  6. IP地址/端口访问控制
    通过数据库所在操作系统或网络中的防火墙限制,只有信任的IP地址/端口才能通过监听器访问数据库。

MySQL

1.账号管理、认证授权
  1.1为不同的管理员分配不同的账号
  1.2删除或锁定无效账号
  1.3限制启动账号权限
  1.4设置权限最小化
  1.5配置数据库角色
  1.6配置口令复杂度
2.日志配置
  2.1启用日志记录功能
3.通信协议
  3.1禁用不必要的网络协议
  3.2加固TCP/IP协议栈
  3.3启用通讯协议加密
4.设备其他安全要求
  4.1停用不必要的存储过程
  4.2安装补丁

Oracle

1.账号管理、认证授权
  1.1账号
    为不同的管理员分配不同的账号
    删除或锁定无效账号
    限制超级管理员远程登录
    设置权限最小化
    配置数据库角色
    配置用户profile
    启用数据字典保护
    最小化DBA组用户数量
  1.2口令
    缺省密码长度复杂度限制
    缺省密码生存周期限制
    密码重复使用限制
    密码重试限制
    修改默认密码
2.日志配置
  启用日志记录功能
  记录用户对设备的操作
  记录系统安全事件
  制定数据库审计策略
3.通信协议
  配置信任IP连接监听器
  配置网络数据传输安全
4.设备其他安全要求
  设置监听器密码
  连接超时限制

SQL Server

1.概述
  1.1适用范围
  1.2规范依据
  1.3实施策略
2.安全配置基线标准
  2.1身份鉴别
    2.1.1删除不必要账户
    2.1.2设置密码并保证复杂度
    2.1.3禁用共享账户
    2.1.4设置认证失败锁定策略
  2.2访问控制
    2.2.1配置数据库启动账户安全
    2.2.2设置用户权限最小化
    2.2.3限制数据库验证方式
    2.2.4限制登录IP
  2.3安全审计
    2.3.1配置数据库审计
3.其它安全项
  3.1配置安装最小化
  3.2设置通讯传输加密
  3.3更新数据库补丁
4.评审与修订

测评项要求

大多数测评项都在基线加固中有对应内容,这里只强调几个重要的点。

8.1.4.7 数据完整性

在这里插入图片描述
在这里插入图片描述
这里测评过程中要注意:
1、检查主要主机操作系统、主要网络设备操作系统、主要数据库管理系统和主要应用系统数据在传输过程是否采取完整性保护措施;在检测到完整性错误时能采取必要的恢复措施。
2、检查如使用HASH、MD5、SHA-1等算法进行完整性保护,在发现完整性被破坏时,是否能实现丢弃或要求重传相应的数据,且保护措施和恢复措施有效。
3、抽查系统设计文档,查看是否有关于能检测数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施的描述。
在这里插入图片描述
注意:这里某些业务的校验可以采用传统手工方式进行,例如盘存、对账等。

8.1.4.8 数据保密性

在这里插入图片描述
本条不符合时,可以考虑从两个方面进行增强:
1、技术手段增强层面间:网络安全与数据安全及备份恢复单位应用系统部署在独立的网络环境(内网)中且不对外提供服务,并对入网行为及数据流重进行监控、分析异常,有助于部分补充系统数据传输保密性的功能不足。
2、管理手段增强层面间:系统运维管理与数据安全及备份恢复单位安排专门的部门或人员定期对网络流程进行监听,并要制定管理要求对敏感信息需要经过加密处理后方可上传网络,有助于部分补充系统通信保密性的功能不足。
在这里插入图片描述

8.1.4.9 数据备份恢复

在这里插入图片描述

oldmao_2000
关注
专栏目录
网络安全测评及安全计算环境测评
bluepangzi的博客
07-06 1360
补充一、网络全局性测评(一)安全通信网络1. 网络架构2. 可信验证(二)安全区域边界1. 边界防护2. 访问控制3. 入侵防范4. 恶意代码和垃圾邮件防范5. 安全审计6. 可信验证(三)安全管理中心1. 系统管理2.审计管理3.安全管理4.集中管控二、设备/系统类测评安全计算环境1. 身份鉴别2. 访问控制3. 安全审计4. 入侵防范5. 数据备份恢复 一、网络全局性测评 (一)安全通信网络 1. 网络架构 【标准条款】 a)应保证网络设备的业务处理能力满足业务高峰期需要; b)应保证网络各个部分的带宽
07.差距评估.安全计算环境之应用系统
老毛的博客
11-19 774
文章目录 本次从头梳理一下等保2.0涉及到的主要步骤: 等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。 定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评的安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。 本节继续分析安全计算环境中的应用系统,对于通用要求而言,测评遇到的应用系统按构架可以分为:Browser/Server和Client/Server两种。甲方在采购或者招标的时候务必要考虑应用系统是否考虑到了等保2.0中相应
mssql 数据库审计账户_mssql 数据库所有者
weixin_39587029的博客
12-21 223
【求助】测试XCode v8.0的正向反向功能目的:测试XCode v8.0的正常反向功能。 正向工程:从数据库读取架构信息,生成实体类。 反向工程:根据实体类的特性构造架构信息,反向生成数据库或者修改数据库。 准备工作: 1,自备数据库实例,最好是自己的数据库,为了测试各种数据库的各种字段能否被识别为正确的.Net类型(正向工程),同时也测...文章智能大石头2011-09-08540浏览量【求...
mysql大于小于_数据库加固Mysql篇
weixin_35867608的博客
01-23 275
1 检查是否按照用户分配账号仅供参考登录mysql数据库,将使用SELECT user,host FROM mysql.user语句查找出来的匿名账户删除2 检查是否禁止mysql以管理员帐号权限运行用普通用户启动mysql3 检查帐户密码复杂度仅供参考:1.登录MySQL,show variables like 'validate_password_length,如果小于8,则设置值大于等于82...
MySQL数据库账号划分及权限
上帝之手&传奇 - MartinLee
03-25 3955
一,针对数据库管理和使用人员做了系统权限和权限控制访问策略。 所有的数据系统登陆,由堡垒机,必须通过4A账号登陆。目前登陆方式有三种,1.主机登陆,2.数据评审端登录(archery等),3.程序直连登陆。 1.1,主机登录,主要针对数据系统管理维护人员,通过切换至对应的数据账号下执行操作,此类操作界面只能有数据库维护人员可以登陆,非数据库维护人员禁止使用(没有权限)此界面。 1.2, 业务开发测试人员,对生产数据系统有对应需求时,通过实名制登录archery数据评审平台后,在根据对应的服务类只读用户进行数
国产数据库选型评估体系建设经验参考.docx
最新发布
04-25
在当前环境下,建立一套完善的国产数据库选型评估体系显得尤为重要。这不仅能够帮助企业更准确地理解自身需求,还能够指导企业在众多国产数据库产品中做出合适的选择,确保所选产品既符合业务需求又能保障系统的稳定...
中职计算机专业数据库技术课程教学探讨.docx
07-02
数据库技术是计算机科学中的核心组成部分,它旨在减少数据冗余,实现数据共享,高效处理和检索数据,并确保数据安全。在信息化社会中,无论是在电子商务、企业管理还是科学研究中,数据库技术都发挥着至关重要的作用...
中国居民收入调查数据库.zip
04-12
《中国居民收入调查数据库》是针对...总的来说,"中国居民收入调查数据库.zip"不仅是一个数据资源,更是一个反映中国社会经济状况的窗口,通过深入分析和研究,可以为政策制定、学术探索和公共讨论提供有力的数据支持。
存储与计算__MySQL数据库容器化实践V3.pdf
09-07
在《存储与计算__MySQL数据库容器化实践V3》中,携程分享了其在MySQL容器化过程中的实践经验,包括选择Kubernetes平台、容器性能评估、使用Statefulset部署、计算与存储分离的架构,以及遇到的问题和解决方案。...
安全风险评估服务要求(招标文件).pdf
10-19
结合XXXX信息安全总体策略,网络安全法相关条款,网络安全等级保护有关标准,对XXXX在物理环境安全、网络和通信安全、主机和应用安全安全管理等方面的制度进行标准化差距比对,提出不少于100项的制度和规范补充...
oracle数据库安全加固方案
01-09
不错的文档,值得学习oracle的安全加固很实用,公司项目按这个文档操作的
IIS安全配置参考
热门推荐
煜铭2011
01-06 1万+
0x01 账号管理 一、 应按照用户分配账号。避免不同用户间共享账号     避免用户账号和设备间通信使用的账号共享(对于IIS用户定义分为两个层次:一、IIS自身操作用户,二、IIS发布应用访问用户)。 操作:         1. 为不同维护人员创建账号:进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:根据系统的要求,设定不同的账户和账户组.对应设置IIS系
MySQL数据库安全配置规范操作
weixin_30483013的博客
12-18 583
1.账号 以普通帐户安全运行mysqld,禁止mysql以root帐号权限运行,攻击者可能通过mysql获得系统root超级用户权限,完全控制系统。 配置/etc/my.cnf [mysql.server] user=mysql 补充操作说明 直接通过本地网络之外的计算机改变生产环境中的数据库是异常危险的。有时,管理员会打开主机对数据库的访问: > GRANT ALL ON *.* TO ...
MySQL8安全指南之账号控制与账户管理:添加帐户、分配权限、删除帐户
李玉志的博客
07-30 487
文章目录添加帐户、分配权限、删除帐户创建帐户和授予权限检查帐户权限和属性撤销账户权限删除帐户 添加帐户、分配权限、删除帐户 要管理 MySQL 帐户,请使用用于该目的的 SQL 语句: CREATE USER 和 DROP USER 创建和删除帐户。 GRANT 和 REVOKE 为帐户分配权限和撤销权限。 SHOW GRANTS 显示帐户权限分配。 创建帐户的另一个选择是使用GUI工具MySQL Workbench。此外,还有一些第三方程序提供MySQL帐户管理功能。phpMyAdmin就
MySQL相关文件——日志文件
zl
11-03 885
日志文件记录了影响MySQL数据库的各种类型活动。MySQL数据库中常见的日志文件有: 错误日志(error log) 二进制日志(binlog) 慢查询日志(slow query log) 查询日志(log) 1. 错误日志(error log) 错误日志记录了MySQL启动,运行,关闭的过程。当数据库出现问题的时候应该首先查看该文件来定位问题。注意:错误日志并不只会记录数据库所有的错误信息,也会记录一些警告信息和正确信息。 查看数据库错误日志的位置:show variables l
sqlserver browser无法启动_等保测评2.0:SQLServer安全审计
weixin_39711914的博客
11-26 422
一、说明本篇文章主要说一说SQLServer数据库安全审计控制点的相关内容和理解。二、测评项a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d)应对审计进程进行保护,防止未经授权的中断。三、测评...
Oracle数据库安全基线(加固方法)
Lee_Natuo的博客
12-06 5209
Oracle数据库安全基线 基本安全原则 选择稳定版本并及时更新、打补丁 严禁使用弱口令,定期更新口令 严格的权限分配和访问控制 具体安全配置 账户和密码 禁止帐户共用 使用命令: sqlplus /nolog; connect /as sysdba;#登录到 sqlplus环境中 执行命令:select username from dba_users where ACCOUNT_...
Oracle数据库安全加固记录
gyh3534的博客
03-17 1004
一个应用系统做等保,需要对数据库进行安全加固,根据流程需要先在测试环境进行测试通过后应用于生产环境,这里简单记录测试过程,审计内容是评测的重要点,但是生产环境也不便于开启,这里先简单记录之,后面再进行相关内容补充。LOCKED(TIMED): 这种状态表示失败的login次数超过了FAILED_LOGIN_ATTEMPTS,被系统自动锁定,需要注意的是,在Oracle 10g中,默认的DEFAULT值是10次.说明: 如果不使用EM,可以停用MGMT_VIEW,DBSNMP,SYSMAN帐号.
python3(pycharm)连接mysql数据库(navicat),实现数据库的“增删改查“操作
weixin_43996007的博客
01-26 1万+
python3(pycharm)连接mysql数据库(navicat),实现数据库的"增删改查"操作 pycharm配置 在pycharm中,首先要添加pymysql包。 navicat配置 连接本地的mysql数据库,创建users数据库,创建webscans_users数据表,并添加相应数据。 初始的数据库表: 增加 import pymysql conn = pymysql.con...
中信银行:从小型机迁移到x86平台,保障数据库安全与效率提升
- 资源对比分析:细致评估CPU、内存、I/O等计算资源,以及业务负载下的整体性能,为小型机与x86服务器定制合理的配置。 CPU能力对比: - 尽管小型机在高端机型上性能稍优,但与x86服务器的差距已相当小,尤其是在8...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oldmao_2000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值