数据安全管理规范

北京宽连十方数字技术有限公司第1页共6页数据安全管理规范·北京·运维中心数据库安全管理规范版本:V1.0(最后修该日期：2007-6-8)编者:宽连十方运维中心目的:建立一个在数据库管理维护过程中，相关数据库管理人员可以遵循的安全操作标准。修改记录:1.0建立数据库安全管理规范（日期：2007-6-7）支持信息：北京宽连十方数字技术有限公司第2页共6页数据安全管理规范·北京·运维中心目录数据库安全管理规范..........................................................................................................................11.规范公司内部管理制度........................................................................................................32.数据库级安全管理制度........................................................................................................32.1操作系统口令管理.......................................................................................................32.2数据库内部口令管理...................................................................................................32.3密码自身保护...............................................................................................................32.4用户（帐号）分类.......................................................................................................42.5数据库管理员日常维护管理.......................................................................................42.6数据库管理员授权控制...............................................................................................52.7网络安全管理...............................................................................................................52.8数据访问控制................................................................................................................5北京宽连十方数字技术有限公司第3页共6页数据安全管理规范·北京·运维中心1.规范公司内部管理制度主要是控制相关工作人员本身的行为规范。需要公司管理部门配合，联合制定一套安全管理制度。包括在界定工作职责（角色）基础之上建立不同级别（权限）的口令。规定不同角色的工作人员不得相互泄露口令等重要安全信息等。2.数据库级安全管理制度2.1操作系统口令管理在操作系统上的有ROOT权限的用户必须由系统管理员全部收回，对于一些特殊原因，如研发人员需要下载相关运行日志，需要建立实名的FTP,以及配套的日志下载权限。，如果确实需要修改系统内部参数的，都要求研发人员向系统管理人员申请协同工作，共同修改。系统管理员会记录下每次协同工作日志和修改日志。2.2数据库内部口令管理1.关键的数据库内部管理用户（SYS,SYSTEM）的口令在数据库创建之初就必须变换默认口令信息。2.对于数据内部默认存在的非管理用户（SCOTT,DBSNMP,OUTLN等）的口令也需要修改。3.对于研发而言，需要建立测试数据库环境。对于上线系统，理论上不提供研发人员对数据库的直接访问和修改。4.由于javaclass很容易反编译，建议javaclass连库的时候要读密码文件。密码文件对用户来说是不读的,但对java程序来说是可读的。或采用其他方式保护数据库连接所需要的用户的密码信息。2.3密码自身保护周期性更换密码（2-3个月），并要求密码具有一定的复杂度（至少6位密码包含数字和字母）北京宽连十方数字技术有限公司第4页共6页数据安全管理规范·北京·运维中心2.4用户（帐号）分类将数据库的对外操作权限划分成3类帐号：第1类：应用程序读写数据库的帐号，目前主要通过websphere、tomcat等连接池进行密码配置。此用户及密码只在运维中心数据库组保留。第2类：工具(tools)帐号，此帐号拥有DML权限，没有DDL权限，主要用于系统内部数据错误等的修改。同时研发部的各个项目组拥有此帐号，可以进行系统内部业务数据的临时处理。（随系统上线运行时间加长，该帐号要被取消）第3类：开发或维护人员帐号，此帐号拥有只读权限，主要用于维护人员核实、定位客户反映的数据问题等。2.5数据库管理员日常维护管理1．保护数据库内部字典信息（8i及以后版本）在数据参数文件中设置O7_DICTIONARY_ACCESSIBILITY=FALSE用以保护数据字典不被除拥有SELECTANYDICTIONARY权限的用户非法查看，或拥有DROPANYTABLE权限的用户恶意损毁数据字典信息。2.定期(至少两星期一次)访问ORACLE等相关网站，下载补丁关注安全警告对于发现的安全补丁要求首先进行评估后在根据实际情况决定是否安装。并还要注意ORACLE公司发布的安全警告。://technet.oracle.com/deploy/security/alerts.htm3.所有对上线系统数据库结构的修改均需要由运维中心数据库组的DBA完成，日常业务逻辑数据的处理由研发部各个项目组完成(数据库脚本需经过DBA审查通过之后方可执行)4.记录用户角色和权限情况，发现有未经核准的异常变动，要立刻汇报上级管理人员，迅速处理安全隐患。北京宽连十方数字技术有限公司第5页共6页数据安全管理规范·北京·运维中心2.6数据库管理员授权控制1.对数据库用户只授必要权限。要保证具有SYS的相关权限不授给任何非DBA用户。2.从PUBLIC组中收回不必要的权限或角色。3.限制运行时工具授权。（如果使用OracleJavaVirtualMachine(OJVM)）2.7网络安全管理1.使用防火墙自9I开始ORACLE可以很好的支持多种防护墙产品，所以将ORACLE放置于防火墙的后面是明智的。同时需要注意的是不要轻易关闭防火墙，以失去来自防火墙的有效保护。2.保护ORACLE的监听可以通过在监听配置文件（listener.ora）中配置ADMIN_RESTRICTIONS_listener_name=ON保护监听不被非授权用户接管。3.加密交易（如果需要）如果确实有安全需要，可以使用OracleAdvancedSecurity来加密数据库服务器端到客户端之间的交易信息。（注意：OracleAdvancedSecurity只在OracledatabaseEnterprise版本中提供）4.限制访问地址通过使用“validnodechecking”安全特性，允许或禁止特定地址的访问。通过新建protocol.ora文件或者直接在SQLNET.ORA文件中增加必要的参数即可（9i及以后版本）tcp.validnode_checking=YEStcp.excluded_nodes={listofIPaddresses}tcp.invited_nodes={listofIPaddresses}2.8数据访问控制1.修改参数文件中的REMOTE_OS_AUTHENT=FALSE北京宽连十方数字技术有限公司第6页共6页数据安全管理规范·北京·运维中心Oracle不推荐在远程客户端上使用操作系统验证，因为客户端验证时不是通过服务器上的操作系统用户来验证，而是使用客户端自己本身的操作系统来进行windows验证,这样，客户端可以采用建立对应的windows机器名和用户名的方式来欺骗Oracle的操作系统验证。这种验证模型并不适合远程客户端，因为安全隐患太大。2.限制数据库所在操作系统的系统用户的数目。(administrative,root-privilegedorminimallyprivileged)，用以降低修改默认文件和目录权限的可能性。3.对于敏感数据使用VPD技术进行保护对于非常敏感的数据，我们可以使用VPD（VirtualPrivateDatabases）技术来使不同级别的用户看到的不同的数据。但是需要注意该技术会造成部分SQL语句执行性能下降。4.对关键业务可以选择性的开启审计功能对于关键业务我们可以通过开启审计（Auditing）记录数据库内都，该关键业务执行的所有详细步骤信息。注意数据内部的审计功能不能一直开启，对数据库性能有所影响。