IBM—中国移动企业信息化数据库安全规范z240228.docx

级:文档编号:项目代号:中国移动企业信息化数据库安全规范Version1.0中国移动通信CHINAMOBILE中国移动通信有限公司二零XX年十二月拟制:审核:批准:会签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人，负责对本文档进行标准化审核4读取5读取目录第1章目的与范围11.1. 目的11.2. 适用范围11.3. 数据库安全保护目标1第2章数据库数据安全风险分析与对策32.1. 数据安全风险分析32.2. 典型数据库安全攻击方式42.2.1. SQL注入52.2.2. 网络窃听.62.2.3. 未经授权的服务器访问62.2.4. 密码破解.62.3. 数据库安全管理关键要点72.3.1. 管理细分和委派原则.72.3.2. 最小权限原则.72.3.3. 帐号安全原则.72.3.4. 有效的审计82.3.5. 加强关键数据库安全保护8第3章数据库基本安全架构93.1. 数据库安全机制考虑93.2. 成熟数据库安全机制IO3.2.1. 账户认证机制.103.2.2. 视图控制机制.123.2.3. 访问控制机制.133.2.4. 安全审计机制.16第4章数据库系统安全加固184.1. 数据库系统的安全防护架构184.2. 网络系统层次安全防护184.2.1. 防火墙隔离.194.2.2. 入侵检测.194.2.3. VPN204.3. 操作系统层次安全加固204.3.1. 操作系统用户安全设置214.3.2. 操作系统安全日志设置224.3.3. 关闭非必要的服务和程序224.3.4. 修补操作系统和更新包234.4. 数据库管理系统安全加固244.4. L数据库安全策略要点244.4.1. 略244.4.2. 略254.4.3. 略254.4.4. 安全性策略264.4.5. 者安全策略264.4.6. 数据库帐户安全274.4.7. 密码安全设置284.4.8. 访问权限安全314.4.9. 数据库加密.324.4.10. 日志记录354A.7.审计.35448.备份恢复.374.49管理员客户端安全404.4.10.数据库系统安全补T.41第5章进一步的安全加固考虑425.1. 细粒度访问控制425.2. 应用程序安全检查435.3. 数据库系统与基于标准的公共密钥体系PKI集成445.4. 关键数据库系统灾难备份44第1章目的与范围1.1. 目的为了加强中国移动集团企业信息化办公室下属各公司的网络数据库系统安全管理，提高中国移动集团下属各公司办公网的网络数据库系统安全水平，保证数据库系统的正常安全运行，特制定本数据库的安全加固规范。随着基础网络建设和应用系统开发的日益成熟与完善，尤其是企业信息化建设的前景和风险共存的事实，安全问题逐步成为企业信息化部门关注和讨论的焦点。对于企业来说，信息系统最重要的资源并不是网络和设备，而是有价值的数据和存贮这些关键数据的地方一数据库。本文档旨在于规范中国移动集团企业信息化办公室下属各公司对通用数据库进行的安全加固。1.2. 适用范围数据库安全包含传统的备份与恢复，用户认证与访问控制，数据存贮和通信环节的加密，而且它作为操作系统之上的应用平台，其安全与网络和主机安全息息相关。本文对中国移动集团企业信息化办公室下属各公司办公网系统的数据库系统，加固进行指导。1.3. 数据库安全保护目标中国移动关键数据库中存储的数据是中国移动的宝贵的信息资源，这些数据的安全的需求概括来讲就是：正确的人能够及时地存取到正确的数据。数据安全保护目标有下面三方面： 数据机密性安全的数据库系统需保证数据的机密性，只能让合法的用户看到他该看到的数据。 数据完整性数据完整性要求：（1）保证数据合法有效；（2）保护数据不被恶意删除和修改；（3）保证数据之间的逻辑依赖关系。 数据可访问数据可用性意味着数据对授权用户是可用的，能够保证业务的正常运行。包括对数据的备份恢复和避免恶意的拒绝服务攻击。第2章数据库数据安全风险分析与对策2.L数据安全风险分析在数据库应用中，数据安全面临着以下威胁：数据被篡改通信的私有性对保证数据在传输过程中不被篡改非常重要。分布式的环境给恶意攻击者篡改数据带来了可能。在数据篡改的攻击中，一个未授权的攻击者对传输中的数据进行拦截、篡改后，再把数据继续进行传输。比如一个攻击者把银行交易的金额从100元改为I(XX)元，导致交易错误。数据被窃取数据必须能够安全地存储和传输，因此敏感信息诸如信用卡号、密码等不会被窃取。在大多数网络中，即使通信通道全部是有线链路，未授权用户也可以用workstation或者PC设法接入网络以窃听网络上的传输数据。对于所有类型的网络，包括局域网和广域网这种数据窃听都有可能。用户身份被伪造攻击者可能冒充合法用户从网络上登录到数据库系统。在分布式环境中，攻击者很容易伪造身份获取到敏感重要的信息。并且，攻击者还可以劫持连接。例如声称的客户机B和声称的服务器A可能并不是真正的客户机B和服务器Ao伪造身份现已成为网络安全的最大威胁之一。密码潜在的问题在大型的系统中，用户必须记住不同应用和不同服务的多个密码，他们通常选择易于猜测的密码，如姓名、字典里的一个单词等以方便记住。这些密码对于攻击来说是很脆弱的；并且，由于不同的应用都需要密码，用户往往把密码标准化，不同的应用的密码略有不同，从一个应用的密码可以推知另外一个应用的密码，这样方便记住。所有这些问题都给安全带来了威胁。未经授权对表、列存取数据库可能含有机密的表，或者表里可能含有机密的列，这些机密数据不应该不加区分地被所有用户访问。所以应该在列这个更细的级别对数据进行保护。未经授权对行存取有一些数据行可能含有机密的信息，这些机密的数据行不应该不加区分地被能访问该表的所有用户访问，应该有更细粒度的安全控制保证数据的机密性。比如说在一个共享的业务环境中，用户应该只能够存取他自己的信息：每个客户只能看到他自己的订单记录，而不能够看到所有的订单记录。这些限制可以通过应用强加上去，但是如果用户绕过应用，直接访问数据库，就会有数据机密性的风险。所以需要在数据这一层加上访问安全策略的控制。缺乏有效的跟踪、监控机制如果系统管理员不能跟踪用户的行为，则用户对他们的行为不会负责任。所以必须有可靠的机制来监控用户对数据的操作。2. 2.典型数据库安全攻击方式数据库通常包含最为敏感、机密的数据。例如：人力资源部门的个人详细资料、客户详细资料、订单或信用卡详细资料。必须安全地存储这类数据，并防止其在未经授权的情况下被披露、篡改或恶意使用。即便数据库服务器并未直接与Internet相连，仍需防止其遭受利用配置弱点、现有缓冲器溢出或不良开发惯例而实施的攻击。数据库攻击的执行者可能是： 为利用数据库而使用的不安全的Web应用程序。 具有网络访问权限的不道德的管理员。 受骗而运行恶意代码的数据库用户。下图显示的是一些主要的威胁和漏洞，它们可导致数据库服务器的安全受到威胁并可能使敏感数据被毁或被窃取。涛码破津朴权过品的眼芬帐户糊仅取无济«数据库服务器的安全威胁和漏洞2.2.1. SQL注入实施SQL注入攻击时，攻击者会充分利用应用程序的输入验证和数据访问代码中的漏洞，使用Web应用程序的安全上下文在数据库中随意运行命令。SQL注入是一种攻击，它将恶意代码插入稍后将传递到数据库系统以进行分析和执行的字符串中。任何返回SQL语句的客户端应用程序都会使信任它的服务器遭受这样的插入攻击，因为该服务器将执行接收到的任何语法上有效的语句。当应用程序根据用户输入的内容构造SQL语句时，最容易插入。当客户端将用户输入的内容传递到服务器端存储过程时，也有可能进行插入攻击。如果应用程序使用特权过多的帐户连接，可能会对服务器造成重大破坏。2.2.2. 网络窃听大多数应用程序的部署体系结构都包括从数据库服务器中物理分离出数据访问代码。因此，必须防止网络窃听者窃取诸如应用程序特定数据或数据库登录凭据等敏感数据。可加大网络窃听可能性的漏洞包括：不安全的通信渠道以明文方式向数据库传送凭据2.2.3. 未经授权的服务器访问应仅限特定客户端计算机可以直接访问数据库服务器，以防止未经授权的服务器访问。使数据库服务器易遭未经授权的服务器访问的漏洞包括： 未在外围防火墙封锁数据库服务端口 缺少IPSeC或TCP/IP筛选策略经过身份验证的用户和无用户名及密码的用户都可遭受直接连接攻击。例如： 使用查询分析器等工具建立到数据库系统的直接连接并发出命令。 如果攻击者向侦听端口发送精心构建的数据包，诸如软件版本等服务器信息便会泄漏。2.2.4. 密码破解常见的密码攻击方式是尝试破解众所周知的帐户名称。导致密码破解的常见漏洞为： 弱密码或空密码 包含日常用语的密码常见的密码破解攻击包括： 字典攻击 手动猜测密码2.3.数据库安全管理关键要点一个强大的数据库安全系统应当确保其中信息的安全性并对其有效地控制。下面列举的原则有助于企业在安全规划中实现客户利益保隙，策略制订以及对信息资源的有效保护。2.3.1. 管理细分和委派原则在典型的数据库工作环境中，DBA总是独立执行所有的管理和其它事务工作,传统数据库管理并没有安全管理员(SeCUrityAdnliniStrator)这一角色，这就迫使数据库管理员(DBA)既要负责帐号的维护管理，又要专门对数据库执行性能和操作行为进行调试跟踪，从而导致管理效率低下。通过管理责任细分和任务委派，安全管理员将得以从常规事务中解脱出来，而更多地关注于解决数据库安全执行以及管理相关的重要问题。2.3.2. 最小权限原则许多新的保密规则针对对特定数据的授权访问。企业必须本着最小权限原则，从需求和工作职能两方面严格限制对数据库的访问权。通过角色(role)的合理运用，最小权限可确保数据库功能限制和对特定数据的访问。2.3.3. 帐号安全原则用户帐号对于每一个数据库联接来说都是必须的。用户帐号设置在缺乏基于字典的密码强度检查和用户帐号过期控制的情况下，只能提供很有限的安全功能。帐号应遵循传统的用户帐号管理方法来进行安全管理。这些方法包括：更改缺省密码；应用适当的密码设置；当登录失败时实施帐号锁定；对数据提供有限制的访问权限；禁止休眠状态的帐户，以及管理帐户的生命周期等。2.3.4. 有效的审计数据库审计是数据库安全的基本要求。数据库审计经常被DBA以提高性能或节省磁盘空间为由忽视或关闭，这大大降低了管理分析的可靠性和效力。审计跟踪对了解哪些用户行为导致数据的修改至关重要，它将与数据直接相关的事件都记入日志，因此，对监视数据访问和用户行为是最基本的管理手段。企业应针对自己的应用和数据库活动定义审计策略。审计并非一定要按要么对所有目标，要么没有审计的粗放模式进行，从这一点来看，智能审计的实现对安全管理意义重大一不仅能节省时间，而且