服务器审计,如何提升服务器数据安全?
数据库安全配置
数据库的安全配置主要内容包括用户账号、访问、加密、防恶、加固方面的内容,不包含备份恢复方面的内容。具体如下:
1、OS:数据库所基于的操作系统应同样满足公司制定的技术规范。
2、补丁:应在不影响系统正常运行的前提下,通过打补丁的方式提升数据库的安全性。3、审计:应根据实际情况有选择性地开启数据库审计功能。
4、用户管理:
1)用户账号的权限应遵循最小化原则。
2)应修改系统内置的特权账号的默认密码,防止数据库受到未经授权的访问。
3)账号密码的强度应符合安全规范。
5、传输加密:通过加密传输通道防止传输内容被非法获取或修改。
6、权限设置:去除部分角色在数据库中的连接与执行权限。
7、其他:根据各数据库的特性所规定的安全配置规范。
上述安全配置要求分为两类:必选项与可选项。数据库必须符合必选项的安全配置要求,并由公司安全部门定期进行检查。可选项的安全配置要求作为加强数据库安全的参考。
数据库的必选项包括:用户管理、权限设置、TNS Listener。详细配置要求见下文。
Oracle1. OS
· 必须确保Oracle 数据库所在的服务器的操作系统是经过安全配置的,具体配置参考《IT 系统平台安全配置指南》。
2. 数据库补丁
安全部门应对影响业务数据机密性、保密性、完整性或其他必需的安全属性的安全补丁进行分析并测试,评估其对生产环境的影响和必要性,如无影响方可安装补丁,具体补丁安装流程参考《安全补丁更新流程》。
3. 审计
· 如果终端用户数量不多,建议开启登陆审计;对于终端用户很多的系统,开启登陆审计将严重影响数据库的性能,不建议开启登陆审计。其他审计根据各自的应用系统安全需要自行决定是否开启。对于使用中间件的应用系统,数据库的登陆审计无效。
4. 用户管理
1)如果没有特殊情况,应该确保只有一个DBA 权限用户。
2)创建用户应该分配特定的角色,该角色是满足其任务所需的最小权限组合。
3)更改具有DBA 权限的内置Oracle 用户密码,例如sys、system、mdsys、ctxsys、wksys、sysman、dbsnmp、odm、odm_mtr、ordplugins、ordsys、outln、scott、wk_proxy、wmsys、xdb、tracesvr、oas_public、websys、lbacsys、rman、perfstat、exfsys、si_informtn_schema等。
4)设置数据库用户的失败登录次数,账号最长使用时间,账号复杂性等策略(如FAILED_LOGIN_ATTEMPTS=3、PASSWORD_LIFE_TIME=90、PASSWORD_REUSE_MAX=5等),具体策略设置参考《集中账号安全管理流程》。
5. 传输信息加密
1)配置Oracle 加密传输认证口令(DBLINK_ENCRYPT_LOGIN=ture)。
2)如果传输其他敏感信息,加密。
6. 权限设置
1)如果没有必要,去除CONNECT 角色拥有的创建存储过程与数据库链接的权限。
2)取消public 在下面package 上的执行权限:
3) UTL_SMTP UTL_TCP UTL_HTTP UTL_FILE UTL_RANDOMDBMS_LOB
4)DBMS_SYS_SQL DBMS_JOB
7. TNS Listener
1)设置Listener 密码,密码规范按照相关规定。
2)开启admin restriction,保护特定的命令不能远程执行。
通过在文件 listener.ora 中设置 ADMIN_RESTRICTIONS_<listener name> 为 ON 可以阻止所有在运行时对监听器的修改。
在对 listener.ora 文件修改后,使用 lsnrctl reload 命令(或者先lsnrctl stop再lsnrctl start)使修改生效,不能直接用命令修改。
SQL Server1. OS
1)必须确保Oracle 数据库所在的服务器的操作系统是经过安全配置的,具体配置参考《IT 系统平台安全配置指南》。
2. 数据库补丁
全部门应对影响业务数据机密性、保密性、完整性或其他亿咖通必需的安全属性的安全补丁进行分析并测试,评估其对生产环境的影响和必要性,如无影响方可安装补丁,具体补丁安装流程参考《安全补丁更新流程》。
3. 审计
至少开启数据库登录审计,其他审计根据需要另外开启。
4. 用户管理
1)如果没有特殊情况,应该确保sysadm组中只有一个用户。
2)创建用户应该分配特定的角色,该角色是满足其任务所需的最小权限组合。
5. 传输信息加密
如果传输敏感信息,加密客户端与数据库之间的通信流量。
6. 权限设置
取消除了master 与tempdb 外guest 用户的访问权限。其他
7. 其他
1)如果没有使用,删除如下扩展存储过程:
xp_cmdshell
xp_OACreate xp_OADestory xp_OAGetErrorInfo xp_OAGetProperty
xp_OAMethod xp_SetProperty xp_OAStop
xp_dirtree
2)采用windows 与SQLServer 混合认证方式。
3)删除样例数据库pubs 与northwind。
公司更换了静态IP?
“极客谈科技”,全新视角、全新思路,伴您遨游神奇的科技世界。
虽然从技术上完全可以实现,但是并不建议这么去做,有侵犯个人隐私的嫌疑。如果公司涉密等级不高,仅仅是为了提升工作人员的办公效率,正面激励要远远好于这种监控式的防预手段。每个人整天全心全意的进行工作并不现实,毕竟不是机器人,在完成手头工作的同时,应该允许有一定的私人空间。谴责说完了,来说说技术上的问题!
先来说说局域网IP地址的问题!每个局域网内的用户都会从路由器分配到一个私网地址,逻辑上来标识这台电脑的地址,并且用于各台电脑使用。这个地址的获取方式有两种,一种是自动获取,一种是手工输入,设置静态地址。通常情况下,前一种使用的较多,毕竟可以降低网络管理员工作量;第二种多用于一些特殊应用,例如服务器地址、打印机地址,本文所说的监控上网也是其中的一种。
将您的电脑设置成静态地址,主要是为了将您本人与电脑绑定在一起,也就是为了监控上网行为来进行准备(当然,用户端也可以修改自己的IP地址,只要在一个网段即可上网,稳妥的方式是绑定MAC地址)。
我们所有的上网设备都需要通过网关中转,也就是常说的路由器。监控上网行为技术上不存在任何的障碍,解决方案同样多种多样(在没有专门的监控产品之前,一般是通过抓包的方式来进行分析,监控产品只不过是将抓包中的数据用户化,降低了查看的门槛)。一种是通过硬件的方式,路由器本身就具备了上网监控的功能,或者通过产品旁挂在路由器上进行监控;一种是通过软件的方式,例如我曾经使用过聚生网管这款软件,不仅可以看到用户的上网行为,还可以对带宽、访问对象进行限制。
如果是基于硬件的这种方式,并没有太好的解决办法,毕竟您所有的数据都要通过该产品,使用一套加密算法也不现实。假如公司基于这种方案,那您就认命吧!毕竟这种方式投入较高,也需要专人进行管理,很多公司并不会这么去做,基于软件的方式更加普遍。软件的实现方式也较多,也无法避免所有的监控行为,这里能够做到的就是将监控风险降至最低。当前您唯一能够做的就是安装一款防火墙软件,并且在防火墙上设置较为严密的审核制度,避免出现个人上网信息被监控的问题。
那么,问题来了,您的公司是否也采用过这种监控行为呢(或者没有明说,背后被您偷偷发现了呢)?欢迎大家留言讨论。
怎么解决鼎信诺审计软件中的审计底稿和电脑上?
前端取数可以取出两种文件格式 .bak .sjc ,不过这两种格式都要在财务软件的服务器电脑上取,而不是装有财务软件的电脑都能取出来。
企业如何确保敏感文件的安全?
企业将文件放置于云服务器中,就免不了需要一款企业管理软件来让文件产生价值。企业网盘对于企业而言,最重要的一点就是是保障文件安全性。
据国家计算机信息安全测评中心数据显示,由于内部重要机密数据通过网络泄露而造成经济损失的单位中,重要资料被黑客窃取和被内部员工泄露的比例为1:99.
企业网盘如何确保企业敏感文件的安全?,以意畅网盘安全体系为例:四个维度的安全体系
存储: AES加密切片存储; • 数据多副本冗余; • 数据与应用分离; • 文件异地增量备份;
访问: 强密码要求; • 支持HTTPS访问 • 防暴力破解; • 用户操作审计;
传输:支持SSL传输加密; • 数据传输全程密文; • 支持登录地址和访问设备绑定; • 病毒在线查杀;
范围:支持细粒度权限访问控制; • 支持历史版本管理; • 非法内容管控; • 支持设备数据远程擦除;
意畅网盘专注企业非结构化数据管理,保护数据安全,提高办公管理效率,让文件创造价值。想要了解更多相关资讯,欢迎关注意畅网盘!服务总线包括几项服务?
答:服务总线包括服务的元数据管理,服务目录库,服务的申请,服务的开通和鉴权,服务运行日志审计和监控,服务运行分析,服务预警,服务SLA等各种功能。
ESB总线引擎是一个完全相对独立的内容,即常说的ESB的Server端,一个完整的ESB引擎一般都会集成消息中间件的能力。类似ServiceMix的ESB可以看到核心是基于OSGI运行框架下的ActiveMQ+CXF组件来实现基础核心功能。没有设计器和管控平台,引擎也可以独立部署和运行,即可以自己写代码或写配置文件,将开发好的服务包部署到ESB引擎环境里面。
其次是ESB设计器,设计器是属于开发和设计态的一个内容,重点则是对http,rest,已经服务+DB,消息等各种内容进行集成。
最后一个内容是SOA管控平台,主要的作用是实现服务的全生命周期管理,包括服务的元数据管理,服务目录库,服务的申请,服务的开通和鉴权,服务运行日志审计和监控,服务运行分析,服务预警,服务SLA等各种功能。即SOA管控平台提升了对ESB引擎本身的管控和治理能力
