Sybase数据库安全配置基线.docx

1、Sybase数据库安全配置基线Sybase数据库安全配置基线中国移动通信有限公司 管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。2.第1章概述第2章2.1目的2.2本文档规定了中国移动管理信息系统部所维护管理的Sybase数据库应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Sybase数据库的安全配置。2.3适用范围2.4本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的

2、Sybase数据库。2.5适用版本2.6Sybase数据库。2.7实施2.8本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。2.9例外条款2.10欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第3章帐号管理、认证授权安全要求第4章4.1帐号管理4.24.3口令4.44.4.1修改sa默认密码安全基线项目名称修改sa默认密码安全基线要求项安全基线编号SBL-Sybase-02-02-01 安全基线项说明 修改sa默认密码。口令长度至少8位，

3、并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作2、1.以sa登录数据库2.3.执行命令“sp_password “旧密码”,”新密码”基线符合性判定依据3、判定条件4、使用默认密码“空密码”不能连接数据库备注4.4.2修改dba默认密码安全基线项目名称修改dba默认密码安全基线要求项安全基线编号SBL-Sybase-02-02-02 安全基线项说明 修改dba默认密码。口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。

4、检测操作步骤1、参考配置操作2、1.以dba登录数据库2.3.执行命令“sp_password “旧密码”,”新密码”基线符合性判定依据3、判定条件4、使用默认密码“SQL”不能连接数据库备注4.4.3修改mon_user默认密码安全基线项目名称修改mon_user默认密码。安全基线要求项安全基线编号SBL-Sybase-02-02-03安全基线项说明 修改mon_user默认密码。口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作2、1.以mon_user登录数据库2.3.执行命令“

5、sp_password “旧密码”,”新密码”基线符合性判定依据3、判定条件4、使用默认密码“mon_user”不能连接数据库备注4.4.4修改jagadmin默认密码安全基线项目名称修改jagadmin默认密码安全基线要求项安全基线编号SBL-Sybase-02-02-04 安全基线项说明 修改jagadmin默认密码。口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作2、1.以jagadmin登录数据库2.3.执行命令“sp_password “旧密码”,”新密码”基线符合性判定依

6、据3、判定条件4、使用默认密码“空密码”不能连接数据库备注4.4.5修改entldbdbo默认密码安全基线项目名称修改entldbdbo默认密码安全基线要求项安全基线编号SBL-Sybase-02-02-05 安全基线项说明 修改entldbdbo默认密码。口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作2、1.以entldbdbo登录数据库2.3.执行命令“sp_password “旧密码”,”新密码”基线符合性判定依据3、判定条件4、使用默认密码“dbopswd”不能连接数据库备

7、注4.4.6修改PIAdmin默认密码安全基线项目名称修改PIAdmin默认密码安全基线要求项安全基线编号SBL-Sybase-02-02-06 安全基线项说明 修改PIAdmin默认密码。口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作2、1.以PIAdmin登录数据库2.3.执行命令“sp_password “旧密码”,”新密码”基线符合性判定依据3、判定条件4、使用默认密码“PIAdmin”不能连接数据库备注4.4.7修改PortalAdmin默认密码安全基线项目名称修改Por

8、talAdmin默认密码安全基线要求项安全基线编号SBL-Sybase-02-02-07 安全基线项说明 修改PortalAdmin默认密码。口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作2、1.以PortalAdmin登录数据库2.3.执行命令“sp_password “旧密码”,”新密码”基线符合性判定依据3、判定条件4、使用默认密码“sybase”不能连接数据库备注4.4.8修改pkiuser默认密码安全基线项目名称修改pkiuser默认密码安全基线要求项安全基线编号SBL-

9、Sybase-02-02-08 安全基线项说明 修改pkiuser默认密码。口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作2、1.以pkiuser登录数据库2.3.执行命令“sp_password “旧密码”,”新密码”基线符合性判定依据3、判定条件4、使用默认密码“pkipasswd”不能连接数据库备注4.4.9修改pso默认密码安全基线项目名称修改pso默认密码安全基线要求项安全基线编号SBL-Sybase-02-02-09 安全基线项说明 修改pso默认密码。口令长度至少8位

10、，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作2、1.以pso登录数据库2.3.执行命令“sp_password 旧密码,新密码”基线符合性判定依据3、判定条件4、使用默认密码“123qwe”不能连接数据库备注4.4.10密码复杂度安全基线项目名称密码长度安全基线要求项安全基线编号SBL- Sybase -02-02-10 安全基线项说明 口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作

11、2、sp_configure minimum password length，8sp_configure check password for digit，2sp_configure systemwide password expiration，90基线符合性判定依据3、判定条件4、isqlsp_configure minimum password lengthisqlgoisqlsp_configure check password for digitisqlgoisqlsp_configure systemwide password expirationisqlgo查看“config va

12、lue”和“run value”是否为81表示强制用户口令至少包含一个数字查看“config value”和“run value”是否为90备注4.4.11最大错误登录次数*安全基线项目名称最大错误登录次数安全基线要求项安全基线编号SBL-Sybase-02-02-11 安全基线项说明 口令最大错误登录次数为10次，超过10次帐户锁定检测操作步骤1、参考配置操作2、sp_configure maximum failed logins，10基线符合性判定依据3、判定条件4、isqlsp_configure maximum failed loginsisqlgo查看“config value”和“

13、run value”是否为10备注注意!此项要求需要手工解锁，建议针对合适的应用场景设置此要求。第5章其他安全要求第6章6.1其他安全配置6.26.2.1补丁版本*安全基线项目名称补丁版本安全基线要求项安全基线编号SBL-Sybase-03-01-01 安全基线项说明 补丁版本号不低于15500检测操作步骤1、参考配置操作2、安装最新安全相关补丁包注：可能影响应用和业务的可用性，安装补丁前用户需进行周密的备份以便补丁安装失败时可以恢复。基线符合性判定依据3、判定条件4、isqlsp_configure upgrade versionisqlgo查看返回结果是否=15500备注根据应用场景的不同

14、，如部署场景需开启此功能，则强制要求此项。6.2.2系统通用配置*安全基线项目名称系统通用配置安全基线要求项安全基线编号SBL-Sybase-03-01-02 安全基线项说明 检测系统通用配置检测操作步骤1、参考配置操作基线符合性判定依据2、判定条件检测使用cpu个数isqlsp_configure max online enginesisqlgo检测启动cpu个数isqlsp_configure number of engines at startupisqlgo检测最大内存数isqlsp_configure max memoryisqlgo分配最大存储过程缓存isqlsp_configur

15、e procedure cacheisqlgo检测高速缓存isqlsp_cacheconfig default data cacheisqlgo缺省缓存分配页大小isqlsp_poolconfig default data cacheisqlgo网络包大小isqlsp_configure max network packet sizeisqlgo最大连接数isqlsp_configure number of user connectionsisqlgo最大打开对象isqlsp_configure number of open objectisqlgo最大索引isqlsp_configure number of open indexisqlgo最大锁数isqlsp_configure number of locksisqlgo增加网络内存isqlsp_configure additional network memoryisqlgo锁内存isqlsp_configure lock shared memoryisqlgo备注建议手工检查第7章评审与修订第8章本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。