Oracle数据库安全配置基线.docx

Oracle数据库安全配置基线.docx

《Oracle数据库安全配置基线.docx》由会员分享，可在线阅读，更多相关《Oracle数据库安全配置基线.docx（8页珍藏版）》请在冰豆网上搜索。

Oracle数据库安全配置基线数据库安全配置基线Oracle数据库安全配置基线第第1章章概述概述1.1目的目的本文规定了Oracle数据库应当遵循的安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行Oracle数据库的安全合规性检查和配置。

1.2适用范围适用范围本配置标准的使用者包括：

服务器系统管理员、安全管理员和相关使用人员。

本配置标准适用的范围包括：

Oracle数据库服务器。

1.3适用版本适用版本适用于Oracle10g。

第第2章章账号账号2.1账号安全账号安全2.1.1删除不必要账号删除不必要账号安全基线项目名称数据库管理系统Oracle删除不必要帐号安全基线要求项安全基线项说明应删除或锁定与数据库运行、维护等工作无关的账号。

检测操作步骤首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除。

基线符合性判定依据结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。

备注2.1.2限制超级管理员远程登录限制超级管理员远程登录安全基线项目名称数据库管理系统Oracle远程登录安全基线要求项安全基线项说明限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。

检测操作步骤1.以Oracle用户登陆到系统中。

2.以sqlplus/assysdba登陆到sqlplus环境中。

3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE设置。

ShowparameterREMOTE_LOGIN_PASSWORDFILE4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置。

基线符合性判定依据参数REMOTE_LOGIN_PASSWORDFILE设置为NONE;sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置成NONE。

备注2.1.3用户属性控制用户属性控制安全基线项目名称数据库管理系统Oracle用户属性控制策略安全基线要求项安全基线项说明对用户的属性进行控制，包括密码策略、资源限制等。

检测操作步骤1.以DBA用户登陆到sqlplus中；2.查询视图dba_profiles和dba_usres来检查profile是否创建。

基线符合性判定依据1.可通过设置profile来限制数据库账户口令的复杂程度，口令生存周期和账户的锁定方式等；2.可通过设置profile来限制数据库账户的CPU资源占用。

备注2.1.4数据字典访问权限数据字典访问权限安全基线项目名称数据库管理系统Oracle数据字典访问权限策略安全基线要求项安全基线项说明启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。

检测操作步骤1.以Oracle用户登陆到系统中；2.以sqlplus/assysdba登陆到sqlplus环境中；3.使用showparameter命令检查参数O7_DICTIONARY_ACCESSIBILITY。

基线符合性判定依据selectVALUEfromv$parameterwhereNAME=O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE备注第第3章章口令口令3.1口令安全口令安全3.1.1账户口令的生存期账户口令的生存期安全基线项目名称数据库管理系统Oracle账户口令生存期安全基线要求项安全基线项说明在相应应用程序条件允许的情况下，对于采用静态口令认证技术的数据库，账户口令的生存期不长于90天。

检测操作步骤1.以Oracle用户登陆到系统中；2.以sqlplus/assysdba登陆到sqlplus环境中；3.执行selectresource_name,limitfromdba_profiles,dba_userswheredba_profiles.profile=dba_users.profileanddba_users.account_status=OPENandresource_name=PASSWORD_GRACE_TIME基线符合性判定依据查询结果中PASSWORD_GRACE_TIME小于等于90。

备注3.1.2重复口令使用重复口令使用安全基线项目名称数据库管理系统Oracle重复口令的使用策略安全基线要求项安全基线项说明对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用最近5次（含5次）内已使用的口令。

检测操作步骤1.以Oracle用户登陆到系统中；2.以sqlplus/assysdba登陆到sqlplus环境中；3.执行selectresource_name,limitfromdba_profiles,dba_userswheredba_profiles.profile=dba_users.profileanddba_users.account_status=OPENandresource_name=PASSWORD_REUSE_MAX。

基线符合性判定依据查询结果中PASSWORD_REUSE_MAX大于等于5。

备注3.1.3认证控制认证控制安全基线项目名称数据库管理系统Oracle认证控制策略安全基线要求项安全基线项说明对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

检测操作步骤1.以Oracle用户登陆到系统中；2.以sqlplus/assysdba登陆到sqlplus环境中；3.执行selectresource_name,limitfromdba_profiles,dba_userswheredba_profiles.profile=dba_users.profileanddba_users.account_status=OPENandresource_name=FAILED_LOGIN_ATTEMPTS。

基线符合性判定依据查询结果中FAILED_LOGIN_ATTEMPTS等于6。

备注3.1.4更改默认帐户密码更改默认帐户密码安全基线项目名称数据库管理系统Oracle默认账户口令策略安全基线要求项安全基线项说明更改数据库默认帐号的密码。

检测操作步骤1.以Oracle用户登陆到系统中；2.以system/system、system/manager、sys/sys、sys/cHAnge_on_install、scott/scott、scott/tiger、dbsnmp/dbsnmp、rman/rman、xdb/xdb登陆sqlplus环境。

基线符合性判定依据上述账户口令均不能成功登录。

备注3.1.5密码更改策略密码更改策略安全基线项目名称数据库管理系统Oracle密码更改策略安全基线要求项安全基线项说明Oracle软件账户的访问控制可遵循操作系统账户的安全策略，比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。

检测操作步骤1.以Oracle用户登陆到系统中；2.以sqlplus/assysdba登陆到sqlplus环境中；3、执行selectlimitfromdba_profileswhereresource_name=PASSWORD_LIFE_TIMEandprofilein（selectprofilefromdba_userswhereaccount_status=OPEN）。

基线符合性判定依据查询结果中PASSWORD_LIFE_TIME小于等于90。

备注3.1.6密码复杂度策略密码复杂度策略安全基线项目名称数据库管理系统Oracle密码复杂度策略安全基线要求项安全基线项说明对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

检测操作步骤1.以Oracle用户登陆到系统中；2.以sqlplus/assysdba登陆到sqlplus环境中；3、执行selectlimitfromdba_profileswhereresource_name=PASSWORD_VERIFY_FUNCTIONandprofilein（selectprofilefromdba_userswhereaccount_status=OPEN）。

基线符合性判定依据为用户建profile，调整PASSWORD_VERIFY_FUNCTION，指定密码复杂度备注第第4章章日志日志4.1日志审计日志审计4.1.1数据库审计策略数据库审计策略安全基线项目名称数据库管理系统Oracle数据审计策略安全基线要求项安全基线项说明根据业务要求制定数据库审计策略。

对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址；用户对数据库的操作，包括但不限于以下内容：

账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。

记录需要包含用户账号，操作时间，操作内容以及操作结果；记录对与数据库相关的安全事件。

检测操作步骤1.以Oracle用户登陆到系统中；2.以sqlplus/assysdba登陆到sqlplus环境中；3.使用showparameter命令来检查参数audit_trail是否设置；4.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。

基线符合性判定依据参数audit_trail不能设置为NONE。

备注第第5章章其他其他5.1其他配置其他配置5.1.1设置监听器密码设置监听器密码安全基线项目名称数据库管理系统Oracle监听器安全基线要求项安全基线项说明为数据库监听器（LISTENER）的关闭和启动设置密码。

检测操作步骤检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDS_LISTENER。

基线符合性判定依据要求正确设置参数PASSWORDS_LISTENER；使用lsnrctlstart或lsnrctlstop命令启停listener需要密码。

备注5.1.2加密数据加密数据安全基线项目名称数据库管理系统Oracle加密数据安全基线要求项安全基线项说明在相应应用程序条件许可的情况下，使用Oracle提供的高级安全选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据。

检测操作步骤检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置sqlnet.encryption等参数基线符合性判定依据对重要的数据库系统，要求正确设置参数sqlnet.encryption；通过网络层捕获的数据库传输包为加密包。

备注第第6章章持续改进持续改进本文件由XXX定期进行审查，根据审查结果修订标准，并重新颁发执行。