Oracle数据库安全配置基线.docx
《Oracle数据库安全配置基线.docx》由会员分享,可在线阅读,更多相关《Oracle数据库安全配置基线.docx(13页珍藏版)》请在冰豆网上搜索。
Oracle数据库安全配置基线
Oracle数据库安全配置基线
第1章概述1
1.1目的1
1.2适用范围1
1.3适用版本1
第2章账号1
2.1账号安全1
2.1.1删除不必要账号1
2.1.2限制超级管理员远程登录2
2.1.3用户属性控制2
2.1.4数据字典访问权限3
第3章口令3
3.1口令安全3
3.1.1
账户口令的生存期
3
3.1.2
重复口令使用
4
3.1.3
认证控制
4
3.1.4
更改默认帐户密码
5
3.1.5
密码更改策略
5
3.1.6
密码复杂度策略
6
第4章
日志
6
4.1
日志审计
6
4.1.1
数据库审计策略
6
第5章其他7
5.1其他配置7
5.1.1设置监听器密码7
5.1.2加密数据8
第6章持续改进8
第1章概述
1.1目的
本文规定了Oracle数据库应当遵循的安全性设置标准,本文档旨在指导系统管理人员或安全检
查人员进行Oracle数据库的安全合规性检查和配置。
1.2适用范围
本配置标准的使用者包括:
服务器系统管理员、安全管理员和相关使用人员。
本配置标准适用的范围包括:
Oracle数据库服务器。
1.3适用版本
适用于Oracle10g。
第2章账号
2.1账号安全
2.1.1删除不必要账号
安全基线项
目名称
数据库管理系统Oracle删除不必要帐号安全基线要求项
安全基线项
应删除或锁定与数据库运行、维护等工作无关的账号。
说明
检测操作步
首先锁定不需要的用户
骤
在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除。
基线符合性
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与
判定依据
工作无关的账号。
。
备注
2.1.2限制超级管理员远程登录
安全基线项
目名称
数据库管理系统Oracle远程登录安全基线要求项
安全基线项
说明
限制具备数据库超级管理员(SYSDBA权限的用户远程登录。
检测操作步
骤
1.以Oracle用户登陆到系统中。
2.以sqlplus'/assysdba'登陆到sqlplus环境中。
3.使用showparameter命令来检查参数REMOTELOGINPASSWORD段置E。
ShowparameterREMOTE_LOGIN_PASSWORDFILE
4.检查在$ORACLEHOME/network/admin/sqlnet.ora文件中参数
SQLNET.AUTHENTICATION_SERVIC设置。
基线符合性
判定依据
参数REMOTE_LOGIN_PASSWORDI设置为NONE;
sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVIC设置成NONE
备注
2.1.3用户属性控制
安全基线项
目名称
数据库管理系统Oracle用户属性控制策略安全基线要求项
安全基线项
说明
对用户的属性进行控制,包括密码策略、资源限制等。
检测操作步
骤
1.以DBA用户登陆到sqlplus中;
2.查询视图dbaprofiles和dbausres来检查profile是否创建。
基线符合性
判定依据
1.可通过设置profile来限制数据库账户口令的复杂程度,口令生存周期和
账户的锁定方式等;
2.可通过设置profile来限制数据库账户的CPU资源占用。
备注
2
2.1.4数据字典访问权限
安全基线项
目名称
数据库管理系统Oracle数据字典访问权限策略安全基线要求项
安全基线项
说明
启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus'/assysdba'登陆到sqlplus环境中;
3.使用showparameter命令检查参数O7DICTIONARYACCESSIBILITY
基线符合性
判定依据
selectVALUEfromv$parameterwhere
NAME='O7_DICTIONARY_ACCESSIBILIT是否设置为FALSE
备注
第3章口令
3.1口令安全
3.1.1账户口令的生存期
安全基线项
目名称
数据库管理系统Oracle账户口令生存期安全基线要求项
安全基线项
说明
在相应应用程序条件允许的情况下,对于采用静态口令认证技术的数据库,
账户口令的生存期不长于90天。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus'/assysdba'登陆到sqlplus环境中;
3.执行selectresource_name,limitfromdba_profiles,dba_userswheredba_profiles.profile=dba_users
.profileanddba_users.account_status='OPEN'and
resource_name='PASSWORD_GRACE_TIME'
基线符合性
判定依据
查询结果中PASSWORDGRACETM于等于90。
备注
3.1.2重复口令使用
安全基线项
目名称
数据库管理系统Oracle重复口令的使用策略安全基线要求项
安全基线项
说明
对于米用静态口令认证技术的数据库,应配置数据库,使用户不能重复使用最近5次(含5次)内已使用的口令。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus'/assysdba'登陆到sqlplus环境中;
3.执行selectresource.name,limitfromdba_profiles,dba_userswheredba_profiles.profile=dba_users
.profileanddba_users.account_status='OPEN'and
resource.name='PASSWORD_REUSE_MAX'
基线符合性
判定依据
查询结果中PASSWORDREUSEMAX等于5。
备注
3.1.3认证控制
安全基线项
目名称
数据库管理系统Oracle认证控制策略安全基线要求项
安全基线项
说明
对于采用静态口令认证技术的数据库,应配置当用户连续认证失败次数超过
6次(不含6次),锁定该用户使用的账号。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus'/assysdba'登陆到sqlplus环境中;
3.执行selectresource.name,limitfromdba_profiles,dba_users
wheredba_profiles.profile=dba_users
.profileanddba_users.account_status='OPEN'and
resource.name='FAILED_LOGIN_ATTEMPTS。
基线符合性
判定依据
查询结果中FAILEDLOGINATTEMPT等于6。
备注
3.1.4更改默认帐户密码
安全基线项
目名称
数据库管理系统Oracle默认账户口令策略安全基线要求项
安全基线项
说明
更改数据库默认帐号的密码。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以system/system、system/manager、sys/sys、
sys/cHAnge_on_install、scott/scott、scott/tiger、dbsnmp/dbsnmp、
rman/rman、xdb/xdb登陆sqlplus环境。
基线符合性
判定依据
上述账户口令均不能成功登录。
备注
3.1.5密码更改策略
安全基线项
目名称
数据库管理系统Oracle密码更改策略安全基线要求项
安全基线项
说明
Oracle软件账户的访冋控制可遵循操作系统账户的安全策略,比如不要共享
账户、强制定期修改密码、密码需要有一定的复杂度等。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus'/assysdba'登陆到sqlplus环境中;
3.执行selectlimitfromdba_profileswhere
resource_name='PASSWORD_LIFE_TIME'andprofilein(selectprofilefromdba_userswhereaccount_status='OPEN')。
基线符合性
查询结果中PASSWORDLIFETIM小于等于90。
判定依据
备注
3.1.6密码复杂度策略
安全基线项
目名称
数据库管理系统Oracle密码复杂度策略安全基线要求项
安全基线项
说明
对于采用静态口令进行认证的数据库,口令长度至少6位,并包括数字、小
写字母、大写字母和特殊符号4类中至少2类。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus'/assysdba'登陆到sqlplus环境中;
3.执行selectlimitfromdba_profileswhere
resource.name='PASSWORD_VERIFY_FUNCTION'andprofilein(select
profilefromdba_userswhereaccount_status='OPEN')。
基线符合性
判定依据
为用户建profile,调整PASSWORD_VERIFY_FUNCTION定密码复杂度
备注
第4章日志
4.1日志审计
4.1.1数据库审计策略
安全基线项
目名称
数据库管理系统Oracle数据审计策略安全基线要求项
安全基线项
根据业务要求制定数据库审计策略。
说明
对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、
登录时间以及远程登录时用户使用的IP地址;
用户对数据库的操作,包括但不限于以下内容:
账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果;
记录对与数据库相关的安全事件。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus'/assysdba'登陆到sqlplus环境中;
3.使用showparameter命令来检查参数audittrail是否设置;
4.检查dbaaudittrail视图中或$ORACLEBASE/admin/adum目录下是否有
数据。
基线符合性
判定依据
参数audit_trail不能设置为NONE
备注
第5章其他
5.1其他配置
5.1.1设置监听器密码
安全基线项
数据库管理系统Oracle监听器安全基线要求项
目名称
安全基线项
为数据库监听器(LISTENER的关闭和启动设置密码。
说明
检测操作步
检查$ORACLEHOME/network/admin/listener.ora文件中是否设置参数
骤
PASSWORDS_LISTENER
基线符合性
要求正确设置参数PASSWORDS_LISTENER
判定依据
使用Isnrctlstart或Isnrctlstop命令启停listener需要密码。
备注
5.1.2加密数据
安全基线项
目名称
数据库管理系统Oracle加密数据安全基线要求项
安全基线项
在相应应用程序条件许可的情况下,使用Oracle提供的高级安全选件来加密
说明
客户端与数据库之间或中间件与数据库之间的网络传输数据。
检测操作步
检查$ORACLEHOME/network/admin/sqlnet.ora文件中是否设置
骤
sqlnet.encryption等参数
基线符合性
对重要的数据库系统,要求正确设置参数sqlnet.encryption;
判定依据
通过网络层捕获的数据库传输包为加密包。
备注
第6章持续改进
本文件由XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
欢迎您的下载,
资料仅供参考!
致力为企业和个人提供合同协议,策划案计划书,学习资料等等
打造全网一站式需求