达梦数据库等保评测-数据库安全问题整改项

于 2025-04-01 11:02:09 发布
阅读量429 收藏 5
点赞数 3
分类专栏: 达梦数据库 文章标签: 数据库 达梦数据库 等保安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42785995/article/details/146904668
版权

达梦数据库等保评测-数据库安全问题整改项

一、身份鉴别类

1. 密码策略

-- 查询当前密码策略
SELECT * FROM V$DM_INI WHERE PARA_NAME ='PWD_POLICY';

-- 修改为31(1+2+4+8+16)
SP_SET_PARA_VALUE(1,'PWD_POLICY',31);
  • 策略说明
    0=无策略 | 1=禁止与用户名相同 | 2=长度≥9
    4=含大写字母 | 8=含数字 | 16=含标点符号
    注:COMPATIBLE_MODE=1时强制为0

2. 用户密码有效期与资源限制

-- 修改用户CCC配置
ALTER USER "CCC" LIMIT 
  CONNECT_IDLE_TIME 10, 
  FAILED_LOGIN_ATTEMPTS 5, 
  PASSWORD_LIFE_TIME 100, 
  PASSWORD_LOCK_TIME 10, 
  CONNECT_TIME 10;

-- 查询资源限制
SELECT D.USERNAME, CONN_IDLE_TIME, FAILED_NUM, LIFE_TIME, LOCK_TIME, ALLOW_ADDR 
FROM SYSUSERS S, DBA_USERS D WHERE S.ID = D.USER_ID;

-- 查询账号修改时间
SELECT B.USERNAME, A.MODIFIED_TIME 
FROM SYS.SYSPWDCHGS A FULL JOIN DBA_USERS B ON A.LOGINID = B.USER_ID;

3. 用户身份验证模式

  • 数据库身份验证:需设置用户口令
  • 外部认证:支持操作系统/LDAP/Kerberos
    详见《DM8安全管理》2.3章

二、访问控制

1. 权限分离

-- 三权分立(默认): SYSDBA/SYSSSO/SYSAUDITOR
-- 四权分立(安全版本): 新增SYSDBO

2. 最小权限原则

-- 查询用户权限
SELECT * FROM DBA_ROLE_PRIVS;  -- 角色权限
SELECT * FROM DBA_TAB_PRIVS;   -- 表权限

3. 强制访问控制

SELECT SESS_PER_USER, FAILED_NUM, PWD_POLICY FROM SYSUSERS;

详见《DM8安全管理》4.8章

三、安全审计

1. 开启审计

-- DM7开启(SYSDBA执行)
SP_SET_PARA_VALUE(1,'ENABLE_AUDIT',1);

-- DM8开启(SYSAUDITOR执行)
SP_SET_ENABLE_AUDIT(1);  -- 0:关闭 1:普通审计 2:普通+实时审计

-- 查询状态
SELECT * FROM V$DM_INI WHERE PARA_NAME='ENABLE_AUDIT';

2. 审计配置

-- 审计所有操作
SP_AUDIT_STMT('ALL', 'NULL', 'ALL');

-- 查看审计记录
SELECT * FROM V$AUDITRECORDS;

-- 日志管理
SP_SET_PARA_VALUE(1,'AUDIT_MAX_FILE_SIZE',200);  -- 改为200M
SP_DROP_AUDIT_FILE('2019-12-6 16:30:00',0);      -- 删除过期日志

四、入侵防范

1. 客户端限制

-- IP白名单配置
ALTER USER "DMHR" ALLOW_IP "127.0.0.1","223.254.7.206","223.254.7.*";

-- 查询白名单
SELECT DU.USERNAME, ALLOW_ADDR 
FROM DBA_USERS DU, SYSUSERS SU 
WHERE DU.USER_ID=SU.ID;

五、数据安全

1. 通信加密

SP_SET_PARA_STRING_VALUE(2,'COMM_ENCRYPT_NAME','DES_CFB');

支持算法:SELECT * FROM V$CIPHERS;

2. 存储加密

# 全库加密(初始化时执行)
./dminit path=/dmdata/dmdb encrypt_name=AES256_CBC

# 表空间加密
CREATE TABLESPACE test DATAFILE 'test.dbf' SIZE 50 ENCRYPT WITH AES256_ECB;

六、备份恢复

1. 物理备份

BACKUP DATABASE FULL BACKUPSET 'd:\bak_full_01';  -- 备份
RESTORE DATABASE 'c:\data\DAMNEG\dm.ini' FROM BACKUPSET 'd:\bak_full_01';  -- 还原

七、剩余信息保护

-- 启用客体重用
SP_SET_PARA_VALUE(2,'ENABLE_OBJ_REUSE',1);  -- 需重启生效

-- 查询状态
SELECT * FROM V$DM_INI WHERE PARA_NAME='ENABLE_OBJ_REUSE';
等保测评-达梦数据库
m0_54146694的博客
02-20 445
一般适用于等保测评
达梦数据库等保测评命令
qq_48257021的博客
05-27 2216
1、select* from v$version 2、select username,user_id,default_tablespace,profile from dba_users; 3、select* from v$parameter where name ='PWD_POLICY'; 全局密码策略 4、select username,password_versions,account_status from dba_users;每个用户的密码策略 5、select life_time from
等保2.0数据库测评之达梦数据库测评
2401_84434570的博客
09-26 4590
达梦数据库管理系统属于新一代大型通用关系型数据库,全面支持 ANSI SQL 标准和主流编程语言接口/开发框架。行列融合存储技术,在兼顾 OLAP 和 OLTP 的同时,满足 HTAP 混合应用场景。本次安装环境为Windows10专业版操作系统,数据库版本为v458764,单机部署过程比较简单就不在此进行讲解。本文针对达梦数据库等保测评进行实际操作,不妥之处还恳请留言指正,共同学习。二、等保测评身份鉴别。
达梦等保测评
weixin_43029005的博客
02-25 3656
根据等保测评建议书,对数据库进行了如下操作: 一.密码策略及限制 1.数据库密码策略 密码策略参数简介: 0: 无策略; 1: 禁止与用户名相同; 2: 口令长度不小于 9; 4: 至少包含一个大写字母(A-Z); 8 : 至少包含一个数字(0 -9); 16: 至少包含一个标点符号( 英文输入法状态下, 除“ 和空格外的所有符号; 若为其他数字, 则表示配置值的和, 如 3 =1+2, 表示同时启 用第 1 和第 2 策略。 当 COMPATIBLE_MODE=1 时,PWD_POLICY 的实际值均
达梦数据库安全管理概述
m0_57398926的博客
07-28 1339
达梦数据库安全管理
《Linux运维实战:达梦DM8数据库等保安全加固方案》
东城绝神
11-01 373
《Linux运维实战:达梦DM8数据库等保安全加固方案》
调度自动化系统中达梦数据库弱口令整改方案
m0_53929714的博客
12-24 1551
调度自动化系统中达梦数据库弱口令整改方案 根据等保测评结果,当前调度自动化系统达梦数据库用户(sysdba、dameng等)存在弱口令和默认密码问题,不满足安全防护要求,需要及时进行整改。为避免对I区核心业务造成影响,先在III区进行整改测试,待III区整改结束后再开展I区整改工作。 风险分析及控制措施: 风险1:曲线及报表无法调阅 控制措施:恢复原用户的密码,查明原因后再进行整改。 风险2:第三方系统无法访问 控制措施:与第三方厂家核查原因,创建新用户供第三方厂家使用。 风险3:修改达梦数据库dame
等级保护测评策略建议整改措施
11-08 9497
主机安全 服务器windows 身份鉴别 b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 整改方法: 修改配置策略:1、查看控制面板—管理工具—本地安全策略—账户策略—密码策略;2、查看控制面板—管理工具—计算机管理—系统工具—本地用户和组—用户—右键—属性—是否勾选“密码永不过期”。建议修改值:(一)策略...
达梦数据库必备!安全性能双重保障!
Karka_的博客
03-03 2090
在中国,数据库的市场份额被国外数据库大佬们长期主导,他们无外乎都是大家耳熟能详的 Oracle、微软、IBM等,这些知名的商业数据库厂商们在技术实力以及市场影响力方面无疑都是顶尖的,并且无一例外,它们都是美国的。而近年来,我们国家也终于意识到,长期依靠国外技术无疑是故步自封,把自身命运交给别国主宰,因此出台了诸多利好政策,提倡本土科技企业自主研发和创新。
等保常见数据库测评命令
zzwcjwds的博客
03-08 987
MySQL select user, host FROM mysql.user;查看管理用户(5.7以上) SELECT User,host,password FROM mysql.user WHERE password='';(5.7以下版本) ****show variables like '%validate%'; 查看口令策略**** SHOW VARIABLES LIKE 'default_password_lifetime'; 返回值为0不限制用户鉴别信息的有效期 show variables
等级保护2.0-测评指导书.zip
11-29
等级保护2.0,最新测评工程师指导书,包含二级、三级测评指导全套资料。 等级保护2.0_测评指导书.zip
sql express配置
10-15
正确更改数据库的动态端口,TCP/IP,以及一些特殊的选,如果使用SQL2005的话挺需要的
等保2.0测评指导书
11-04
物理安全安全通信网络、安全区域边界、安全计算环境、安全计算环境linux、安全计算环境windows、Oracle、Mysql、终端设备、应用系统、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制
达梦数据库修改密码策略,开启审计等安全加固相关
weixin_49512910的博客
05-22 6635
密码要求最短10位,包含大写字母、数字、标点符号。认证登录需要用户自己提供相关的。使用配通讯加密算法进行通讯加密。修改用户登录失败三次,锁定。修改密码长度最小10位。可以使用的加密算法查询。需要重启数据库生效)审计用户查看日志命令。
达梦数据库常见的安全检查
m0_58466865的博客
11-06 2805
保护数据,以防不合法的使用所造成的数据泄露、更改或破坏,数据库安全性极为重要,本文讲述了达梦数据库安全检查时几个比较常见检查目。
达梦审计功能
话别深秋
03-09 1976
只要审计功能被启用,系统级的审计记录就会产生;在进行数据库审计时,审计员之间没有区别,可以审计所有数据库对象,也可取消其他审计员的审计设置;语句级审计不针对特定的对象,只针对用户;对象级审计针对指定的用户与指定的对象进行审计;在设置审计时,审计选不区分包含关系,都可以设置;在设置审计时,审计时机不区分包含关系,都可以进行设置;如果用户执行的一条语句与设置的若干审计都匹配,只会在审计文件中生成一条审计记录。
达梦:用户密码策略及资源限制
Penrosee的博客
09-22 7372
一文学会达梦数据库用户密码策略及资源限制
达梦DM-密码策略和登录限制设置
热门推荐
qq_39631768的博客
11-04 1万+
DM数据库密码策略和登录限制设置1 系统口令策略1.1 查看口令策略1.2 控制台工具修改1.3 系统过程修改2 资源限制2.1 登录限制 在数据库的用户安全中,口令复杂度策略和资源限制是用户安全重要的一部分。在DM数据库中,口令策略分为系统口令策略和用户口令策略。只有安全版本才支持对每个用户设置口令策略(即用户口令策略),非安全版本,只支持系统口令策略。 DM数据库提供了用户IP地址和登录时段限制功能,本章介绍DM数据库系统口令策略设置和用户登录限制设置。 1 系统口令策略 1.1 查看口令策略 数据库
postgresql数据库等保整改
最新发布
01-22
### PostgreSQL 数据库等级保护整改方案最佳实践 #### 安全配置优化 为了确保PostgreSQL数据库安全性,需进行全面的安全配置优化。这包括但不限于设置强密码策略、启用SSL加密通信、限制网络访问范围等措施[^1]。 ```sql -- 修改pg_hba.conf文件以加强认证方式 hostssl all all 0.0.0.0/0 md5 ``` #### 补丁更新机制 定期检查并安装官方发布的最新版本和安全补丁对于维护系统的安全性至关重要。及时修补已知漏洞能有效抵御外部攻击威胁。 #### 权限控制体系构建 细化角色权限分配,遵循最小特权原则授予用户操作许可。严格区分管理员账户与其他普通用户的职责边界,避免过度授权带来的风险隐患。 ```sql -- 创建只读用户 CREATE ROLE readonly_user WITH LOGIN PASSWORD 'strong_password'; GRANT CONNECT ON DATABASE mydb TO readonly_user; GRANT USAGE ON SCHEMA public TO readonly_user; GRANT SELECT ON ALL TABLES IN SCHEMA public TO readonly_user; -- 将新创建对象自动赋予给readonly_user选择权 ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT ON TABLES TO readonly_user; ``` #### 日志审计功能开启 激活详细的日志记录选有助于事后追溯异常行为轨迹。合理规划存储路径与保留周期,并考虑采用第三方工具辅助分析处理海量日志信息。 ```bash # postgresql.conf 中调整参数 logging_collector = on log_directory = 'pg_log' log_filename = 'postgresql-%Y-%m-%d_%H%M%S.log' log_statement = 'all' # 记录所有SQL语句执行情况 ``` #### 防范SQL注入攻击 编写应用程序接口时务必重视输入验证环节的设计思路转换成预编译查询模式,从根本上杜绝潜在的SQL注入可能性。同时利用ORM框架自带防护特性简化编码工作量降低出错概率。 ```python import psycopg2 conn = psycopg2.connect(dbname="mydb", user="user", password="password") cur = conn.cursor() # 使用占位符代替直接拼接字符串的方式传递变量值 query = "SELECT * FROM users WHERE username=%s AND password=crypt(%s, salt)" cur.execute(query, ("admin", "secret")) rows = cur.fetchall() ``` #### 备份恢复计划制定 建立健全的数据备份制度是应对突发事件的关键举措之一。建议采取多副本异地保存策略增强容灾能力的同时也要注重演练测试频率保证应急预案的有效性和实用性。 ```bash # 自动化增量备份脚本示例 #!/bin/bash export PGPASSWORD='your_db_password' pg_dump -U your_username -Fc dbname | gzip > /path/to/backups/dbname_$(date +%F).gz ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值