PostgreSQL中如何实现等保2.0的三权分立

已于 2024-12-01 00:04:55 修改
阅读量621 收藏 2
点赞数 7
分类专栏: PostgreSQL从入门到精通 文章标签: postgresql 数据库
于 2024-11-30 23:56:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46661978/article/details/144163276
版权

PostgreSQL中如何实现等保2.0的三权分立

文章目录

前言

本文主要介绍按照中国网络安全等级保护2.0标准(简称“等保2.0”)的要求,实现三权分立是确保信息系统安全的重要措施之一。等保2.0中的三权分立主要指的是系统管理员、安全管理员和审计管理员三个角色的分离,以防止任何单一角色拥有过高的权限,从而降低内部威胁的风险。

一、创建角色

创建代表不同职能的角色。根据等保2.0的要求,至少需要创建以下三种角色:

  • 系统管理员
  • 安全管理员
  • 审计管理员
    其他应用管理员按需新增
-- 创建系统管理员角色
CREATE ROLE sysadmin WITH LOGIN PASSWORD 'sysadmin_password';

-- 创建安全管理员角色
CREATE ROLE secadmin WITH LOGIN PASSWORD 'secadmin_password';

-- 创建审计管理员角色
CREATE ROLE auditadmin WITH LOGIN PASSWORD 'auditadmin_password';

二、分配权限

根据不同的角色分配权限,做到权责分离

系统管理员

  • 拥有数据库的管理,但不包括安全管理和审计管理
  • 可以执行数据的备份,恢复和性能调优等操作
# 授予创建数据库的权限
GRANT CREATEDB TO sysadmin;

# 授予创建角色的权限
GRANT CREATEROLE TO sysadmin;

#其他必要的权限
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO sysadmin;

安全管理员

  • 负责安全策略的配置,如用户权限管理、密码策略等。
  • 不应拥有对数据库内容的操作权限。
-- 授予创建角色的权限
GRANT CREATEROLE TO secadmin;

-- 授予修改用户属性的权限
ALTER ROLE secadmin WITH SUPERUSER;  -- 注意:这会赋予超级用户权限,可能需要进一步限制

-- 限制对数据的操作权限
REVOKE SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public FROM secadmin;

审计管理员

  • 负责日志审计和安全事件分析。
  • 不应拥有对数据库内容的操作权限或安全配置权限。
-- 授予查看日志的权限
GRANT pg_read_all_settings TO auditadmin;
GRANT pg_monitor TO auditadmin;

-- 限制对数据的操作权限
REVOKE SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public FROM auditadmin;

总结

以上是PostgreSQL中实现符合等保2.0要求的三权分立。重要的是要持续监控和评估系统的安全性,并根据最新的安全威胁和最佳实践进行调整。确保没有不必要的权限被授予,并且权限符合最小权限原则。

三级等保-linux服务器三权分立设置
u013008898的博客
10-19 5657
服务器未严格按照系统管理员权限、审计管理员权限、安全管理员权限进行分配管理员账户,未实现管理员用户的最小权限划分。建议服务器创建审计管理员、安全管理员等管理员账户,并划分相关管理员权限,实现最小权限分离。使用审计管理员进行添加用户/添加防火墙操作,查看权限是否正确控制。d)应授予管理用户所需的最小权限,实现管理用户的权限分离;可能存在管理员越权操作的风险。至此服务器三权分立设置完成。
三级等保postgresql的安全要求配置
松果177的博客
10-08 682
三级等保PostgreSQL的安全要求配置
等保测评三权分立的设计与实施.pdf
04-28
等保测评三权分立的设计与实施,等保用的三权分立说明书
PostgreSQL 数据库三权分立详解
分享关于Java编程、数据库管理和信息安全方面的最佳实践
06-25 1748
三权分立的基本思想是将系统中关键操作的权限分配给不同的角色,以确保没有单个用户或角色能够完全控制整个系统。数据库管理员(DBA):负责数据库的安装、配置、备份、恢复和性能优化等管理任务。安全管理员(SA):负责数据库安全策略的制定和实施,包括用户管理、权限分配和审计等。应用管理员(AA):负责数据库应用的开发和维护,包括表结构设计、查询优化和数据加载等。通过实施三权分立,可以有效地提高 PostgreSQL 数据库的安全性和管理效率。
三级等保测评-服务器设置三权分立
m0_46282787的博客
10-25 2829
三级等保测评-服务器设置三权分立
PostgreSQL权限的分配和控制
互联网知识分享
09-29 1377
中,权限用于控制用户对数据库对象的访问和操作。ALTER DEFAULT PRIVILEGES:用于设置默认权限,即当用户创建新对象时,默认分配给该对象的权限。语句可以设置默认权限,即当用户创建新对象时,默认分配给该对象的权限。中,默认情况下,数据库对象的所有权和访问权限都是由创建该对象的用户所拥有。提供了一组权限控制语句,用于分配和撤销用户对数据库对象的权限。中进行权限的分配和控制。REVOKE:用于撤销用户或用户组对数据库对象的某种权限。GRANT:用于授予用户或用户组对数据库对象的某种权限。
postgresql 的三类日志
weixin_34400525的博客
05-13 394
一、PostgreSQL有3种日志:1)pg_log(数据库运行日志) 内容可读 默认关闭的,需要设置参数启动2)pg_xlog(WAL 日志,即重做日志) 内容一般不具有可读性 强制开启3)pg_clog(事务提交日志,记录的是事务的元数据) 内容一般不具有可读性 强制开启pg_xlog和pg_clog一般...
等保测评--- 岗位职责、权限划分设计思路(三权分立
w1304099880的博客
07-12 1万+
一、设计思路 1.1 三员及权限的理解 系统管理员:主要负责系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 审计管理员:主要负责对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 安全管理员:主要对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 1.2 三员之三权 废除超级管理员, 三员是三角色也是三人,每个人有自己
linux麒麟系统二级等保三权分立策略】
冰恋云的专栏
07-21 5511
账号名 ALL = (root) NOPASSWD: /usr/bin/cat,/usr/bin/less,/usr/bin/more,/usr/bin/tail,/usr/bin/head"(2)只允许anquan用户访问/etc,设置目录权限 注:这一步骤需要根据业务来确定是否配置以及配置的内容。(2)创建组并将用户添加到组(/var是要给用户权限访问的路径),并设置目录权限。整改-----------------------------------1)创建审计账号(方法同普通账号);
PostgreSQL库做等保测评,需要对密码长度、复杂度做限制
chenyifan0329的博客
03-21 1149
运行后再去执行rpm -ivh postgresql14-contrib-14.4-1PGDG.rhel7.x86_64.rpm就能执行成功了。3、需要安装包postgresql14-contrib-14.4-1PGDG.rhel7.x86_64.rpm。缺少libpython3.6m.so.1.0、libxslt.so.1这两个依赖包。执行完成后数据库就能启动成功了。1、在配置文件里加入下面这行。2数据库启动时报如下错误。将安装包上传到服务器上执行。从官网上下载对应版本的包。
等保: Postgresql配置ssl链接
weixin_43557605的博客
08-17 3868
等保: postgresql配置ssl链接完整方案和避坑指南
三级等保中的三员管理
qq_43038960的博客
08-11 3369
三级等保中的三员管理详解及linux机器配置三员管理示例
等保3.0-服务器三权分立配置
qq_41411704的博客
07-25 8939
等保3.0-服务器三权分立配置
等保windows server安全策略三权分立设置
三朝看客
10-28 2万+
三权的理解:配置,授权,审计 三员的理解:系统管理员,安全保密管理员,安全审计员 三员之三权:废除超级管理员;三员是三角色并非三人;安全保密管理员与审计员必须非同一个人。 安全用户配置 审计用户配置 ...
数据管理的三权分立
conglangwei55287的专栏
04-30 2203
这篇文章已经发表在《软件世界》2009年第4期上。这里是作者本人的转载。 我的数据真的安全吗 在今年的央视3.15晚会上,最受关注的是曝光了倒卖个人信息的黑幕。虽然说曝光的内容主要是黑客通过病毒木马盗窃个人信息,但...
SQL注入法攻击一日通
happmaoo的专栏
03-12 120
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根 据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常的WWW端口访问,而且表面看起来跟一...
PostgreSQL的用户、角色和权限管理
热门推荐
深入理解PostgreSQL
02-23 9万+
Pg权限分为两部分,一部分是“系统权限”或者数据库用户的属性,可以授予role或user(两者区别在于login权限);一部分为数据库对象上的操作权限。对超级用户不做权限检查,其它走acl。对于数据库对象,开始只有所有者和超级用户可以做任何操作,其它走acl。在pg里,对acl模型做了简化,组和角色都是role,用户和角色的区别是角色没有login权限。   可以用下面的命令创建和删除角色
安全加固脚本及解析等保2.0(仅供参考)
weixin_53532638的博客
08-16 5815
#!/bin/bash echo "已对密码进行加固,如果输入错误密码超过3次,则锁定账户!!" echo "备份文件!" cp /etc/pam.d/sshd /etc/pam.d/sshd.bak n=`cat /etc/pam.d/sshd | grep "auth required pam_tally2.so "|wc -l` if [ $n -eq 0 ];then sed -i '/%PAM-1.0/a\auth required pam_tally2.so deny=3 unlock_time
PostgreSQL用户、数据库及表的管理、操作与授权
09-20 3万+
摘要 PostgreSQL的常用命令1、登录数据库/* 切换到数据库用户 */ su - postgres/* 登录 */ psql登录成功显示如下:bash-4.2$ psql psql (9.3.17) Type "help" for help.postgres=> 2、切换数据库/* 登录指定数据库 */ psql -U user -d dbname/* 列举数据库 */ \l/* 切换数
等保2.0 数据库安全审计
最新发布
03-29
### 等保2.0下的数据库安全审计要求及实现方案 #### 数据库安全审计的核心要求 网络安全等级保护2.0(简称等保2.0)在多个层面强调了安全审计的重要性,特别是在安全管理中心、安全计算环境等方面提出了具体要求。这些要求旨在确保系统的操作行为能够被记录、分析并用于后续的安全评估和事件追溯[^3]。 - **日志记录**:需对数据库的操作行为进行全面的日志记录,包括但不限于用户的登录尝试、权限变更、数据访问以及异常活动。 - **实时监控与告警**:应具备实时监测机制,当发现潜在威胁或违规操作时能及时发出警告。 - **事后可查证性**:所生成的日志文件应当保存一定期限,并支持查询功能以便于事故调查和技术取证。 #### 技术实现路径 为了达到上述目标,可以从以下几个方面着手构建符合等保2.0标准的数据库安全审计体系: 1. **启用内置审计功能** 大多数现代关系型数据库管理系统(RDBMS),如MySQL, PostgreSQL 和 MongoDB 都提供了不同程度上的原生审计能力。以MongoDB为例,可以通过配置参数来启动其内部审计服务,这允许管理员跟踪各种管理命令执行情况以及其他重要动作的发生过程。 ```bash # 启动MongoDB实例时加入--auditDestination选项指定输出位置 mongod --fork --logpath /var/log/mongodb.log --auditDestination file --auditFormat JSON --auditPath /var/audit/mongodb-audit.json ``` 2. **部署第三方工具** 对于更复杂的需求场景,则可能需要引入专业的商业产品或者开源项目作为补充手段。这类软件通常具有更强的数据解析能力和丰富的报表展示界面,有助于提升整体效率的同时也满足合规性的考量。 3. **加强存储防护措施** 日志本身也是一种敏感资料形式存在,因此同样需要注意它们在整个生命周期内的安全性处理方式——加密传输通道防止截获篡改;采用哈希算法验证完整性等等都是常见做法之一[^4]。 4. **定期审查制度建立** 即使有了自动化流程辅助完成大部分日常工作量之后,人工参与仍然是不可或缺的一环。安排专门人员按周期回顾现有策略有效性如何? 是否有必要调整优化方向等问题均属于此范畴之内[^1]。 ```python import hashlib def hash_log(log_content): """Generate SHA-256 digest of log content.""" sha_signature = hashlib.sha256(log_content.encode()).hexdigest() return sha_signature ``` 以上代码片段展示了如何利用Python语言创建一个简单的函数用来生成给定字符串对应的SHA-256散列值,这对于保障本地储存的日志不被非法修改有着重要意义。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云计算老王

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值