微慑信息网

达梦数据库

合规标准 执行指南 符合情况 问题描述 备注
实施建议 检查建议
层面 对象 按制点 标准依据 要求项 检查说明 问卷样例 核查方法
09、主机安全 达梦数据库 身份鉴别 (A)a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;

(B)a) 对登录操作系统的用户进行身分识别和鉴别;

(G)5、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数,并禁用或删除应用系统默认、无用或测试用户或帐号;

(G)1、应对数据库系统的用户的登录进行身份认证;

(I)a)可采用用户名/口令等鉴别机制实现服务器操作系统及数据库系统的身份鉴别;

应对登录操作系统和数据库系统的用户进行身份标识和鉴别。(融合) 建议对用户设置强度为8位以上包括字母,数据库,特殊符号组成的高强度密码。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-01-01。

1、应检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看是否提供了身份鉴别措施; 1、是否对用户进行身份标识和鉴别:
□是   □否                                                                                       2、身份标识与鉴别机制实现措施:
1、应采用用户名密码等身份认证方式。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-01-01。

09、主机安全 达梦数据库 身份鉴别 (A)b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

(B)b) 操作系统和数据库系统管理用户身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换;口令长度不得小于8位,且为字母、数字或特殊字符的混合组合,用户名和口令不得等同;

(G)4、操作系统和数据库系统用户身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识;用户在第一次登录系统时修改分发的初始口令,口令长度不得小于8位,且为字母、数字或特殊字符的混合组合,用户名和口令不得相同;禁止应用软件明文存储口令;

(G)5、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数,并禁用或删除应用系统默认、无用或测试用户或帐号;

(G)4、操作系统和数据库系统用户身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识;用户在第一次登录系统时修改分发的初始口令,口令长度不得小于8位,且为字母、数字或特殊字符的混合组合,用户名和口令不得相同;禁止应用软件明文存储口令;

(I)a)普通用户的口令长度不宜短于10字符,系统管理员用户的口令长度不宜短于12个字符,且每三个月至少修改一次;

操作系统和数据库系统管理用户身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。口令长度不得小于8位,且为字母、数字或特殊字符的混合组合,用户名和口令不得等同,禁止应用软件明文存储口令。(融合)

若该操作系统和数据库服务于互联网网站,则按以下要求执行:
普通用户的口令长度不宜短于10字符,系统管理员用户的口令长度不宜短于12个字符,且每三个月至少修改一次,口令复杂度为字母、数字或特殊字符的混合组合,用户名和口令不得等同,禁止应用软件明文存储口令。(融合)

建议开启数据库密码策略功能,对用户的密码强度和密码使用的时间进行监督,强制要求用户定期修改管码及强制用户设置由字母,数字,特殊字符等组成。增强用户口令的安全性。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-01-02。

1、应检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看其身份鉴别信息是否具有不易被冒用的特点,如对用户登录口令的最小长度、复杂度和更换周期进行了要求和限制;
2、应渗透测试重要服务器操作系统,可通过使用口令破解工具等,对服务器操作系统进行用户口令强度检测,查看是否能够破解用户口令,破解口令后是否能够登录进入系统;
1、系统是否提供身份鉴别措施:                                        □是   □否                                                                          2、身份鉴别信息是否具有不易被冒用的特点:
□是   □否                                                                              3、不易被冒用的措施有 :                                                      □ 限制口令的最小长度                                                        □ 设定口令的复杂度                                                          □ 定期更换口令
□ 其他
1、使用DM安全版;
2、打开DM管理工具->右键相应用户->修改->常规;
3、在“常规”页面中,检查对各个口令策略是否勾选,设置口令复杂度至少为8位以上,包含大小字字母、数字、符号中的两种以上;
4、打开DM管理工具->右键相应用户->修改->资源限制;
5、在“资源限制”页面中,检查是否设置口令更换时间至少为90天;

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-01-02。

09、主机安全 达梦数据库 身份鉴别 (A)c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

(B)c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施应限制同—用户连续失败登录次数;(增强)

(G)3、应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

(G)5、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数,并禁用或删除应用系统默认、无用或测试用户或帐号;

(G)3、应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

(I)c)应采取措施防范口令暴力破解攻击,可采用设置登录延时、限制最大失败登录次数、锁定账号等措施。

应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。(融合) 建议启用数据库用户登录失败处理功能,设置登陆失败锁定参数值应至少为5次,锁定时间至少为30分钟。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-01-03。

1、应检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看是否已配置了鉴别失败处理功能,并设置了非法登录次数的限制值;查看是否设置网络登录连接超时,并自动退出; 1、是否配置了鉴别失败处理功能:
□是   □否                                                                             2、如果有鉴别失败处理功能,其措施是:
□ 结束会话                                                                          □ 限制非法登录次数                                                            □ 自动退出                                                                                □ 其他
1、使用DM安全版;
4、打开DM管理工具->右键相应用户->修改->资源限制;
5、在“资源限制”页面中,检查是否设置非法登陆失败次数至少为5次,登陆失败锁定时间为至少为30分钟;

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-01-03。

09、主机安全 达梦数据库 身份鉴别 (A)d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;

(B)d) 当对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过程中被窃听;

(G)6、当对服务器进行远程管理时,应采取加密措施,防止鉴别信息在网络传输过程中被窃听。

(G)1、应配置使用SSH等加密协议进行远程管理,禁止使用Telnet等明文传输协议;

当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。(融合) 建议禁用系统远程管理功能。如果使用应采用加密处理。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-01-04。

1、如果操作系统或数据库采用远程管理方式,查看是否具有防止鉴别信息在网络传输过程中被窃听的措施; 1、是否采用了远程管理:                                                     □是   □否                                                                             2、如果采用了远程管理,是否有防止窃听措施:
□是   □否                                                                       3、防窃听措施有哪些:
1、打开 数据库安装目录/data/实例名/dm.ini;
2、打开dm.ini文件,检查是否修改ENABLE_ENCRYPT设置为1;
3、安装OpenSSL,并用其生成CA自签名证书、服务端数字证书,客户端数字证书,服务端私钥,客户端私钥
4、将CA自签名证书,服务端数字证书,服务端私钥密码拷贝进服务端数据库安装目录/bin/server_ssl/下,将CA自签名证书,客户端数字证书,客户端私钥拷贝进客户端安装目录/bin/client_ssl/下
5、重启数据库;
6、尝试登陆DM管理器,查是否登陆成功,若成功登陆则开启SSL连接;

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-01-04。

09、主机安全 达梦数据库 身份鉴别 (A)e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;

(B)e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;

(G)2、应保证操作系统中不存在重复用户身份标识,应为不同用户分配不同帐户,不允许不同用户间共享同一系统帐户;

(G)5、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数,并禁用或删除应用系统默认、无用或测试用户或帐号;

(G)2、应保证数据库系统中不存在重复用户身份标识,应为不同用户分配不同帐户,不允许不同用户间共享同一系统帐户;

应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。(融合) 建议对数据库管理员建立专门运维管理账户。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-01-05。

1、应检查重要服务器操作系统和重要数据库管理系统帐户列表,查看管理员用户名或UID分配是否唯一; 1、管理员用户名分配是否唯一:
□是   □否
1、查看是否存在多人共用一个管理员帐号的现象。(A、B角需要账户)

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-01-05。

09、主机安全 达梦数据库 身份鉴别 (A)f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别;

(B)f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别;

(C)应使用交互式口令管理系统,确保口令质量;

(G)1、应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别;

(I)b)针对服务器操作系统及数据库系统宜采用两种或两种以上组合的鉴别技术实现用户身份鉴别(动态口令、数字证书等)。

应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,使用交互式口令管理系统,确保口令质量。(融合) 建议使用两种或两种以上的身份鉴别功能。
例如
用户密码+证书
用户密码+key
等形式进行双重密码认证。
1、应检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看是否采用两个及两个以上身份鉴别技术的组合来进行身份鉴别;
2、应渗透测试重要服务器操作系统,测试是否存在绕过认证方式进行系统登录的方法。
1、是否采用两种或两种以上的身份鉴别技术:
□是   □否
1、应采用两种组合的认证方式,如:用户名密码+生物技术等。
09、主机安全 达梦数据库 访问控制 (A)a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;

(B)a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;

(C)应基于访问控制策略限制对信息和应用系统功能的访问;

(G)1、应为数据库系统设置访问控制策略;

(I)e)应仅开启业务所需的最少服务及端口。

应启用访问控制功能,依据安全策略控制用户对资源的访问,并关闭不必要的服务及端口。(融合) 建议对用户角色进行严格限制,防止用户非法操作或者越权管理。 1、应检查重要服务器操作系统的安全策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等进行了禁用或删除; 1、是否对重要文件的访问权限进行控制:
□是   □否                                                                             2、是否对不需要的服务进行禁用:                                                                                            □是   □否
1、数据库系统的宿主操作系统除提供数据库服务外,不得提供其它网络服务,如:WWW、FTP、DNS 等;
2、数据库安装、数据文件、备份等目录的权限应< 755,windows平台则everyone用户没有写权限。
09、主机安全 达梦数据库 访问控制 (A)b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;

(B)b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;

(G)2、应为不同用户划分角色;

(G)4、应授予不同帐户或角色为完成各自承担任务所需的最小权限,实现权限分离;

(I)a)针对服务器操作系统及数据库系统应设置必要的用户访问控制策略,为不同用户授予其完成各自承担任务所需的最小权限,限制超级管理员等默认角色或用户的访问权限;

(I)a)服务器操作系统及数据库系统不同用户之间应形成权限相互制约关系;

应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。(融合) 建议对用户角色进行严格限制,建立专门数据库运维管理账户,防止其他用户非法操作或者越权管理。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-02-01、DB-DM-02-02。

1、应查看是否采用最小授权原则;                           2、 应检查操作系统的特权用户和数据库管理员系统的特权用户,查看不同管理员的系统账户权限是否不同、且不应由一个人担任; 1、是否采用最小授权原则:                                               □是   □否 1、使用DM安全版;
2、打开DM管理工具->用户;
3、右键相应用户,检查各应用系统用户是否已设置为resource和public角色;

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-02-01、DB-DM-02-02。

09、主机安全 达梦数据库 访问控制 (A)c) 应实现操作系统和数据库系统特权用户的权限分离;

(B)c) 应实现操作系统和数据库系统特权用户的权限分离;

(I)a)针对服务器操作系统及数据库系统应设置必要的用户访问控制策略,为不同用户授予其完成各自承担任务所需的最小权限,限制超级管理员等默认角色或用户的访问权限;

(I)a)服务器操作系统及数据库系统不同用户之间应形成权限相互制约关系;

应实现操作系统和数据库系统特权用户的权限分离。(融合) 建议对用户角色进行严格限制,防止用户非法操作或者越权管理。对用户进行限制分离。防止系统管理员与数据库管理员同一人提任。 1、应检查重要服务器操作系统和重要数据库管理系统,查看特权用户的权限是否进行分离,如可分为系统管理员、安全管理员、安全审计员等; 1、特权用户的权限是否分离 :
□是   □否
检查数据库管理员与系统管理员是否为同一人

LINUX系统
1、使用DM安全版;
2、打开DM管理工具->用户;
3、查看用户中是否有dmdba用户,有代表已进行设置;

WINDOWS系统
检查数据库是否设置空密码,或与操作系统同一密码;

09、主机安全 达梦数据库 访问控制 (A)d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;

(B)d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;

(G)5、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数,并禁用或删除应用系统默认、无用或测试用户或帐号;

(G)5、应严格限制默认帐户和特权账户的访问权限,应重命名系统默认帐户,修改这些帐户的默认口令;

(I)b)应及时清除服务器操作系统及数据库系统中的无用账号、默认账号,不应出现多人共用同一个系统账号的情况;

应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。(融合) 建议修改系统默认与账号和数据库默认密码。强制用户使用密码安全策略。提高数据库口令强度。 1、应检查重要服务器操作系统和重要数据库管理系统的访问控制策略,查看是否已禁用或者限制匿名/默认用户的访问权限,是否重命令系统默认账号、修改这些账户的默认口令。 1、是否限制默认用户的访问权限:                                   □是   □否
2、是否修改默认账户的默认口令:                                              □是   □否                                                                              3、是否重命名系统默认账户:                                             □是   □否
检查’sysdba’、’sysauditor’、’syssso’、’sys’等账户的是否启用口令策略,询问管理员是否已修改这些默认账号的口令;
09、主机安全 达梦数据库 访问控制 (A)e) 应及时删除多余的、过期的帐户,避免共享帐户的存在;

(B)e) 应及时删除多余的、过期的帐户,避免共享帐户的存在;

(G)5、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数,并禁用或删除应用系统默认、无用或测试用户或帐号;

(G)3、应删除或锁定过期帐户和无用帐户,关闭数据库不必要的服务;

(I)b)应及时清除服务器操作系统及数据库系统中的无用账号、默认账号,不应出现多人共用同一个系统账号的情况;

应及时删除多余的、过期的帐户,避免共享帐户的存在。(融合) 建议禁用数据库删除多余或过期的用户。注销共享用户。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-02-04。

1、应检查重要服务器操作系统和重要数据库管理系统的访问策略,是否删除了系统中多余的、过期的以及共享的帐户;
2、应检查重要服务器操作系统和重要数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制;
1、匿名/默认用户的访问权限是否被禁止或严格限制:
□是   □否                                                                                2、是否删除系统多余的账户:                                                □是   □否                                                                         3、是否删除系统过期的账户:                                                   □是   □否                                                                               4、是否删除系统共享的账户:                                                     □是   □否
1、使用DM安全版;
2、打开DM管理工具->用户;
3、针对各个用户询问数据库管理员,确认是否包括多余、过期及共享的用户;

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-02-04。

09、主机安全 达梦数据库 访问控制 (A)f) 应对重要信息资源设置敏感标记;

(B)f) 应对重要信息资源设置敏感标记,主机不支持敏感标记的,应在系统级生成敏感标记,使系统整体支持强制访问控制机制;(落实)

(C)应要求用户遵循该组织的做法使用其秘密鉴别信息;

应对重要信息资源设置敏感标记,主机不支持敏感标记的,在系统级生成敏感标记,使系统整体支持强制访问控制机制,要求用户遵循该组织的做法使用其秘密鉴别信息。(融合) 建议对重要的信息资源设置敏感标记,防止非法用户越权查看或修改秘密或机密甚至绝密信息。
设置敏感标记,属于强制访问控制模型中的一项活动,强制访问控制模型要求主体设置敏感标签,客体设置敏感标记,主体对客体的访问依靠相应的标记规则进行访问,如绝密>机密>秘密,主体有机密标签,可访问部分有机密及秘密标记的客体,但因权限小于绝密,无法访问绝密信息。
1、应检查重要服务器操作系统和重要数据库管理系统的访问控制策略,查看是否对重要信息资源设置敏感标记; 1、是否对重要信息资源设置敏感标记:
□是   □否
1、数据库重要的表添加敏感标签,
设置敏感标记,属于强制访问控制模型中的一项活动,强制访问控制模型要求主体设置敏感标签,客体设置敏感标记,主体对客体的访问依靠相应的标记规则进行访问,如绝密>机密>秘密,主体有机密标签,可访问部分有机密及秘密标记的客体,但因权限小于绝密,无法访问绝密信息。
09、主机安全 达梦数据库 访问控制 (A)g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;

(B)g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;

(C)应只允许用户访问被明确授权使用的网络和网络服务;

应依据安全策略严格控制用户对有敏感标记重要信息资源的操作,只允许用户访问被明确授权使用的网络和网络服务。(融合) 建议对重要的信息资源设置敏感标记,防止非法用户越权查看或修改秘密或机密甚至绝密信息。
设置敏感标记,属于强制访问控制模型中的一项活动,强制访问控制模型要求主体设置敏感标签,客体设置敏感标记,主体对客体的访问依靠相应的标记规则进行访问,如绝密>机密>秘密,主体有机密标签,可访问部分有机密及秘密标记的客体,但因权限小于绝密,无法访问绝密信息。
1、是否依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 1、是否依据安全策略严格控制用户对有敏感标记重要信息资源的操作:
□是   □否
1、数据库重要的表添加敏感标签。
设置敏感标记,属于强制访问控制模型中的一项活动,强制访问控制模型要求主体设置敏感标签,客体设置敏感标记,主体对客体的访问依靠相应的标记规则进行访问,如绝密>机密>秘密,主体有机密标签,可访问部分有机密及秘密标记的客体,但因权限小于绝密,无法访问绝密信息。
09、主机安全 达梦数据库 访问控制 (G)6、除数据库管理员外,应该确保任何其他用户只有通过应用系统程序可以访问数据库。 除数据库管理员外,应该确保任何其他用户只有通过应用系统程序可以访问数据库。(融合) 1、建议通过访问控制策略或数据库的安全机制限制数据库的访问地址为堡垒机和应用系统的地址,并在堡垒机为数据库管理员配置访问数据库和其支撑主机的唯一权限。 1、访问安全管理员是否通过访问控制策略或数据库的安全机制限制数据库的访问地址为堡垒机和应用系统的地址,是否在堡垒机为数据库管理员配置访问数据库和其支撑主机的唯一权限。 1、是否通过访问控制策略或数据库的安全机制限制数据库的访问地址为堡垒机和应用系统的地址:
□是      □否

2、是否在堡垒机为数据库管理员配置访问数据库和其支撑主机的唯一权限:
□是      □否

1、检查访问控制策略或数据库的安全机制限制数据库的访问地址为堡垒机和应用系统的地址;
2、检查堡垒机的用户列表,查看其他用户的权限是否具有访问数据库及其支撑主机的权限。
09、主机安全 达梦数据库 安全审计 (A)a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

(B)a) 审计范围应覆盖服务器和重要客户端上的每个操作系统用户和数据库用户,系统不支持该要求的,应采用第三方安全审计产品实现审计要求;(落实)

(G)1、审计范围应覆盖到服务器和重要客户端上的每个操作系统用户。系统不支持该要求的,应采用第三方安全审计产品实现审计要求;

(I)a)应实现服务器操作系统及数据库系统的安全审计,对系统远程管理、账号登录、策略更改、对象访问、服务访问、系统事件、账户管理等行为及WWW等重要服务访问进行审计,并设置审计日志文件大小的阈值以及达到阈值的处理方式(覆写、自动转存等);

审计范围应覆盖服务器和重要客户端上的每个操作系统用户和数据库用户,系统不支持该要求的,可采用第三方安全审计产品实现审计要求。(融合) 建议开启数据库审计功能,并对所有数据库用户行为进行审计。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-03-01。

1、应检查重要服务器操作系统、重要终端操作系统和重要数据库管理系统,查看安全审计配置是否符合安全审计策略的要求; 1、是否开启了日志审计:
□是   □否
1、打开 数据库安装目录/data/实例名/dm.ini;
2、打开dm.ini文件,检查是否修改ENABLE_AUDIT1为1;
3、使用审计员账号登陆DM审计分析工具,并定位到审计日志目录,查看是否有审计记录;

检查通过第三方审计系统进行操作审计。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-03-01。

09、主机安全 达梦数据库 安全审计 (A)b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

(B)b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统重要安全相关事件,至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等;

(G)2、审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统重要安全相关事件,至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等;

(I)a)应实现服务器操作系统及数据库系统的安全审计,对系统远程管理、账号登录、策略更改、对象访问、服务访问、系统事件、账户管理等行为及WWW等重要服务访问进行审计,并设置审计日志文件大小的阈值以及达到阈值的处理方式(覆写、自动转存等);

审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统重要安全相关事件,至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)、系统远程管理、账号登录、策略更改、对象访问、服务访问、系统事件、账户管理等行为及WWW等重要服务访问等。(融合) 建议合理配置审计功能,审计日志内容需包括数据库的重要用户行为,系统资源异常和重要系统命令使用等数据库用户操作过程进行严格记录。 1、应检查重要服务器操作系统、重要终端操作系统和重要数据库管理系统的安全审计策略,查看安全审计配置是否包括系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安全相关事件; 1、安全审计策略内容:
□ 系统内重要用户行为
□ 系统资源的异常
□ 重要系统命令的使用
□ 其他
1、审计日之应包括:登录日志记录(建议)、数据库操作日志(可选),审计日志在软件安装目录/dmdba/data/实例名/AUDIT_*.log。
09、主机安全 达梦数据库 安全审计 (A)c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

(B)c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

(C)应产生记录用户活动、意外和信息安全事件的日志,保留日志并定期评审;

(G)3、审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等,产生记录用户活动、意外和信息安全事件的日志,保留日志并定期评审。(融合) 建议对用户审计事件包括用户操作的行为,用户操作的时间,类型,主体,客体标识和结果等过程进行记录。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-03-02。

1、应检查重要服务器操作系统、重要终端操作系统和重要数据库管理系统的安全审计策略,查看审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容; 1、审计记录信息内容:
□ 时间发生的日期和时间
□ 触发事件的主体与客体
□ 事件的类型
□ 事件成功或失败
□ 事件的结果
□ 其他
1、使用DM安全版;
2、使用审计账号登陆打开DM管理工具->用户;
3、右键相应用户,查看是否设置相应审计规则;
4、查看相应用户是否有审计日志;

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-03-02。

09、主机安全 达梦数据库 安全审计 (A)d) 应能够根据记录数据进行分析,并生成审计报表;

(B)d) 应能够通过操作系统自身功能或第三方工具根据记录数据进行分析,并生成审计报表;

(G)4、应能够通过操作系统自身功能或第三方工具根据记录数据进行分析,并生成审计报表;

应能够通过操作系统自身功能或第三方工具根据记录数据进行分析,并生成审计报表。(融合) 建议对审计记录进行生成报表。可直接和直观地查找用户行为和统计用户行为情况。提高排查速度等。 1、应检查重要服务器操作系统、重要终端操作系统和重要数据库管理系统的安全审计策略,查看是否为授权用户提供浏览和分析审计记录的功能,是否可以根据需要自动生成不同格式的审计报表; 1、是否能对审计记录进行报表生成:
□是   □否
1、是否通过第三方审计管理数据库,包括Pl/sql工具。
09、主机安全 达梦数据库 安全审计 (A)e) 应保护审计进程,避免受到未预期的中断;

(B)e) 应保护审计进程,避免受到未预期的中断;

(G)5、应保护审计进程,避免受到未预期的中断;

保护审计进程,避免受到未预期的中断。(融合) 建议启用审计进程。并对审计进程进行验证和对过程进行保护。防止非法对审计进程进行中断审计。 1、应测试重要服务器操作系统、重要终端操作系统和重要数据库管理系统,可通过非审计员的其他账户试图中断审计进程,验证审计进程是否受到保护。 1、审计进程是否能未授权关闭:
□是   □否
1、询问数据库管理员,确认审计账号是否与管理账号为同一人,是否存在账号共享问题;
09、主机安全 达梦数据库 安全审计 (A)f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等;

(B)f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等;

(C)应保护日志设施和日志信息免受篡改和未授权访问;

(G)6、应保护审计记录,避免受到未预期的删除、修改或覆盖等。

(I)a)应实现服务器操作系统及数据库系统的安全审计,对系统远程管理、账号登录、策略更改、对象访问、服务访问、系统事件、账户管理等行为及WWW等重要服务访问进行审计,并设置审计日志文件大小的阈值以及达到阈值的处理方式(覆写、自动转存等);

(I)b)针对安全审计记录及审计策略设置必要的访问控制以避免未授权的删除、修改或覆盖等;

(I)b)审计记录保存时间不宜少于180d;

应保护日志设施和日志信息免受篡改和未授权访问,保护审计记录,避免受到未预期的删除、修改或覆盖等。(融合) 建议设置数据库日志保存时间大于6个月。保护日志的操作权限合理。防止非法修改和日志容量过小覆盖日志重要记录和重要的用户行为操作等。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-03-03。

1、应检查重要服务器操作系统、重要终端操作系统和重要数据库管理系统的安全审计策略,查看通过日志覆盖周期、存储方式、日志文件/空间大小、日志文件操作权限等设置,实现了对审计记录的保护,使其避免受到未预期的删除、修改或覆盖等; 1、日志保留是否大于6个月:
□是   □否
2、是否限制日志文件访问权限:
□是   □否
1、日志保存要求大于6个月,Linux平台日志文件权限建议设置为644,windows平台配置other用户没有写权限。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-03-03。

09、主机安全 达梦数据库 剩余信息保护 (A)a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;

(B)a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;

(G)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。

应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。(融合) 建议对重新分配给其他用户前对数据库的鉴别信息和数据进行完全清除。 1、应检查重要操作系统和重要数据库管理系统技术开发手册或产品检测报告,查看是否明确用户的鉴别信息存储空间被释放或再分配给其他用户前的处理方法和过程; 1、操作系统和数据库系统用户的鉴别信息在分配给其他用户前是否释放:
□是   □否
1、检查数据库相关文件(数据文件\备份文件\归档文件等)存放目录在重新使用前会不会格式化。
09、主机安全 达梦数据库 剩余信息保护 (A)b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除;

(B)b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除;

应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。(融合) 建议对重新分配给其他用户前对数据库的数据进行完全清除。 1、应查看是否明确文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前的处理方法和过程。 1、保系统内的文件、目录和数据库记录等资源所在的存储空间,是否在被释放或重新分配给其他用户前得到完全清除:                                                                                          □是   □否 1、检查数据库相关文件(数据文件\备份文件\归档文件等)存放目录在重新使用前会不会格式化。
09、主机安全 达梦数据库 入侵防范 (A)b) 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;

(B)b) 应能够对重要程序的完整性进行检测,并具有完整性恢复的能力;(增强)

(G)2、应能够对重要程序的完整性进行检测,并具有完整性恢复的能力;

应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。(融合) 建议使用文件完整性检查工具对重要文件的完整性进行检查,对重要的配置文件进行备份。查看备份情况。 1、应检查主要服务器是否提供对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复措施的功能; 1、是否对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施:
□是   □否
1、察看是否使用完整性检查工具对重要文件的完整性进行检查,是否对重要的配置文件进行备份。
09、主机安全 达梦数据库 入侵防范 (A)c) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新;

(B)c) 操作系统应遵循最小安装的原则,仅安装必要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁得到及时更新,补丁安装前应进行安全性和兼容性测试;

(D)组织按照补丁管理要求进行了可更新补丁的更新;

(E)及时对服务器操作系统补丁和数据库管理系统补丁进行更新;

(G)3、操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新,补丁安装前应进行安全性和兼容性测试。

(G)1、应删除数据库不必要组件;

(G)2、应禁用不必要的存储过程或服务。

(I)操作系统和数据库系统宜遵循最小安装原则,仅安装业务必需的服务、组件和软件等。

操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新,能够对重要程序的完整性进行检测,并具有完整性恢复的能力。(融合) 建议不要安装多余的系统应用软件。定期安装系统安全补丁和数据库安全补丁。防止数据库或系统补利用。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-04-01。

1、应检查重要服务器操作系统中所安装的系统组件和应用程序是否都是必须的;
2、应检查是否设置了专门的升级服务器实现对重要服务器操作系统补丁的升级,重要服务器操作系统是否具有操作系统补丁更新策略;                                3、 应检查重要服务器操作系统和重要数据库管理系统的补丁是否得到了及时更新;
1、数据库补丁是否及时更新:                                                       □是   □否                                                                                        2、数据库补丁更新方式:                                                                 3、数据库补丁更新周期: 数据库应遵循最小安装的原则,仅安装需要的组件,并通过设置升级服务器等方式保持系统cpu补丁及时得到更新,打开DM管理工具->帮助->关于查看数据库版本是否不低于7.1.0。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-04-01。

09、主机安全 达梦数据库 资源控制 (A)d) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;

(B)d) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;

(G)3、应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;

应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况,根据需要限制单个用户对系统资源的最大或最小使用限度。(融合) 建议采采用资源监控软件或设备对其进行实时监控。 1、应提供软硬件实时监控措施对其的资源使用状况进行实时监控,超出危险级别时进行主动报警。 1、是否采用资源监控软件或设备对其进行实时监控:
□是   □否
1、应检查是否采用资源监控软件或设备对其进行实时监控,在超出一定范围是否进行主动报警。
09、主机安全 达梦数据库 资源控制 (G)3、应对数据库的性能进行监视; 应对数据库的性能进行监视。(融合) 1、建议通过IT统一监控平台或其他监控手段对数据库支撑主机的CPU、内存、空间等信息进行监控;
2、条件允许的情况下,建议对数据库的性能进行监控,如表空间、查询效率、数据缓冲区、库缓冲、用户锁等。
1、询问数据库管理员,是否通过IT统一监控平台或其他监控手段对数据库支撑主机的CPU、内存、空间等信息进行监控;是否存在对数据库性能进行监控的必要,是否对数据库的表空间、查询效率、数据缓冲区、库缓冲、用户锁等信息进行监控。 1、是否通过IT统一监控平台或其他监控手段对数据库支撑主机的CPU、内存、空间等信息进行监控:
□是      □否
□其他____________________

2、是否存在对数据库性能进行监控的必要:
□是      □否

3、是否对数据库的表空间、查询效率、数据缓冲区、库缓冲、用户锁等信息进行监控:
□是      □否

1、检查IT统一监控平台或其他监控措施,查看是否对数据库支撑主机的CPU、内存、空间等信息进行监控。
09、主机安全 达梦数据库 资源控制 (A)c) 应限制单个用户对系统资源的最大或最小使用限度;

(B)c) 应根据需要限制单个用户对系统资源的最大或最小使用限度;

(G)5、应根据需要限制单个用户对系统资源的最大或最小使用限度。

应根据需要限制单个用户对系统资源的最大或最小使用限度。(融合) 建议依据业务系统的需要,设置每个数据库用户的权限,限制其对系统资源的最大或最小使用限度同,如对并发会话数、CPU时间、空闲等待时间。 1、应访谈数据库管理员及用户管理员,询问是否根据需要限制单个用户对系统资源的最大或最小使用限度。 是否限制了单个用户有对系统资源的使用限度
□ 是       □ 否
1、应访谈数据库管理员及用户管理员,询问是否根据需要限制单个用户对系统资源的最大或最小使用限度。
09、主机安全 达梦数据库 资源控制 (A)e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警;

(B)e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警;

(C)应谨慎策划对操作系统验证所涉及的审核要求和活动并获得许可,以最小化中断业务过程;

(G)4、应能够对系统的服务水平降低到预先规定的最小值进行检测和报警;

应能够对系统的服务水平降低到预先规定的最小值进行检测和报警,谨慎策划对操作系统验证所涉及的审核要求和活动并获得许可,以最小化中断业务过程。(融合) 建议采用资源监控软件或设备对其进行实时监控并在超出一定范围是否进行主动报警 1、应提供软硬件实时监控措施对其的资源使用状况进行实时监控,超出危险级别时进行主动报警。 1、是否采用资源监控软件或设备对其进行实时监控
□是  □否
2、是否资源使用在超出一定范围进行主动报警
□是  □否
1、应检查是否采用资源监控软件或设备对其进行实时监控,在超出一定范围是否进行主动报警。
09、主机安全 达梦数据库 资源控制 (A)a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;

(B)a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;

(G)2、应通过设定终端接入方式、网络地址范围等条件限制终端登录。

(G)2、应通过设定终端接入方式、网络地址范围等条件限制对数据库的访问;

(I)c)应限制网站Web服务器、数据库服务器等重要服务器的远程管理;

应通过设定终端接入方式、网络地址范围等条件限制终端登录。(融合) 建议对管理数据库的终端进行限制,防止非法用户远程连接数据库。除数据库管理员外,应该确保任何其他用户只有通过应用系统程序可以访问数据库。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-05-01。

1、应检查重要服务器操作系统和重要数据库管理系统的资源控制策略,查看是否设定了终端接入方式、网络地址范围等条件限制终端登录;是否除数据库管理员外,应该确保任何其他用户只有通过应用系统程序可以访问数据库。 1、是否设定限制终端登录:                                                      □是   □否                                                                                     2、限制方法有:                                                                       □设定终端接入方式                                                                   □限制网络地址范围                                                                 □其他
3、是否除数据库管理员外,应该确保任何其他用户只有通过应用系统程序可以访问数据库
□是   □否
1、使用DM安全版;
2、打开DM管理工具->右键相应用户->修改->资源限制;
3、在“资源限制”页面中,检查是否修改限制访问ip段;

1、访谈数据库管理员,了解采取什么方式限制终端登录数据库管理系统。(例如:防火墙、inux通过配置/etc/hosts.allow和/etc/hosts.deny,windows通过配置本地防火墙策略等手段)

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-05-01。

09、主机安全 达梦数据库 资源控制 (A)b) 应根据安全策略设置登录终端的操作超时锁定;

(B)b) 应根据安全策略设置登录终端的操作超时锁定;

(G)1、应按基线要求配置用户登录超时策略;

应根据安全策略设置登录终端的操作超时锁定。(融合) 建议设置数据库超时功能,防止数据库被非法操作或泄漏。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-05-02。

1、应检查访问重要服务器的终端是否都设置了操作超时锁定的配置; 1、是否已开启数据库超时锁定功能:
□是   □否
1、根据安全策略在用户的资源限制中设置会话持续期限为10分钟。在DM管理工具->右键相应用户->修改->资源限制中设置。

具体参考《IT主流设备安全基线技术规范》基线编号:DB-DM-05-02。

09、主机安全 达梦数据库 资源控制 (G)1、应根据性能和业务需求,设置数据库最大并发连接数; 应根据性能和业务需求,设置数据库最大并发连接数。(融合) 1、建议根据性能和业务需求,设置数据库最大并发连接数。 1、询问数据库管理员,是否根据性能和业务需求,设置数据库最大并发连接数。 1、是否根据性能和业务需求,设置数据库最大并发连接数:
□是      □否

2、最大连接数为______________

1、检查数据库,查看其最大连接数是否设置,数值为多少。

 

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 达梦数据库

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册