Oracle数据库安全配置基线.docx
《Oracle数据库安全配置基线.docx》由会员分享,可在线阅读,更多相关《Oracle数据库安全配置基线.docx(10页珍藏版)》请在冰豆网上搜索。
Oracle数据库安全配置基线
Oracle数据库安全配置基线
目
录
第1章概括........................................................
1
目的........................................................
1
合用范围....................................................
1
合用版本....................................................
1
第2章账号........................................................
1
账号安全....................................................
1
删除不用要账号...........................................
1
限制超级管理员远程登录...................................
2
用户属性控制.............................................
3
数据词典接见权限.........................................
3
第3章口令........................................................
4
口令安全....................................................
4
账户口令的生计期.........................................
4
重复口令使用.............................................
5
认证控制.................................................
6
改正默认帐户密码.........................................
7
密码改正策略.............................................
8
密码复杂度策略...........................................
8
第4章日记........................................................
9
日记审计....................................................
9
数据库审计谋略...........................................
9
第5章其余.......................................................
11
其余配置...................................................
11
设置监听器密码..........................................
11
加密数据................................................
11
第6章连续改良...................................................12
第1章概括
目的
本文规定了Oracle数据库应该按照的安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行Oracle数据库的安全合规性检查和配置。
合用范围本配置标准的使用者包含:
服务器系统管理员、安全管理员和有关使用人员。
本配置标准合用的范围包含:
Oracle数据库服务器。
合用版本
合用于Oracle10g。
第2章账号
账号安全
删除不用要账号
安全基线数据库管理系统Oracle删除不用要帐号安全基线要求项项目名称
安全基线应删除或锁定与数据库运转、保护等工作没关的账号。
项说明
检测操作第一锁定不需要的用户
步骤在经过一段时间后,确认该用户对业务确无影响的状况下,能够删
除。
基线切合联合要乞降实质业务状况判断切合要求,删除或锁定与设施运转、性判断依保护等与工作没关的账号。
据
备注
限制超级管理员远程登录
安全基线数据库管理系统Oracle远程登录安全基线要求项
项目名称
安全基线限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
项说明
检测操作1.以Oracle用户登岸到系统中。
步骤2.以sqlplus‘/assysdba’登岸到sqlplus环境中。
使用showparameter命令来检查参数
REMOTE_LOGIN_PASSWORDFILE设置。
ShowparameterREMOTE_LOGIN_PASSWORDFILE
4.检查在文件中参数
设置。
基线切合
参数REMOTE_LOGIN_PASSWORDFILE设置为NONE;
性判断依
文件中参数设置成
据
NONE。
备注
用户属性控制
安全基线数据库管理系统Oracle用户属性控制策略安全基线要求项项目名称
安全基线对用户的属性进行控制,包含密码策略、资源限制等。
项说明
检测操作
1.以DBA用户登岸到sqlplus中;
步骤
2.查问视图dba_profiles和dba_usres来检查profile
能否创立。
基线切合
1.可经过设置profile
来限制数据库账户口令的复杂程度,口令生
性判断依
存周期和账户的锁定方式等;
据
2.可经过设置profile
来限制数据库账户的CPU资源占用。
备注
数据词典接见权限
安全基线数据库管理系统Oracle数据词典接见权限策略安全基线要求项
项目名称
安全基线启用数据词典保护,只有SYSDBA用户才能接见数据词典基础表。
项说明
检测操作1.以Oracle用户登岸到系统中;
步骤2.以sqlplus‘/assysdba’登岸到sqlplus环境中;
使用showparameter命令检查参数
O7_DICTIONARY_ACCESSIBILITY。
基线切合selectVALUEfromv$parameterwhere
性判断依NAME='O7_DICTIONARY_ACCESSIBILITY'能否设置为FALSE
据
备注第3章口令
口令安全
账户口令的生计期
安全基线数据库管理系统Oracle账户口令生计期安全基线要求项
项目名称
安全基线在相应应用程序条件同意的状况下,关于采纳静态口令认证技术的
项说明数据库,账户口令的生计期不擅长90天。
检测操作1.以Oracle用户登岸到系统中;
步骤2.以sqlplus‘/assysdba’登岸到sqlplus环境中;
履行selectresource_name,limitfromdba_profiles,dba_userswhere=dba_users
.profileanddba_users.account_status='OPEN'and
resource_name='PASSWORD_GRACE_TIME'
基线切合查问结果中PASSWORD_GRACE_小TIME于等于90。
性判断依
据
备注
重复口令使用
安全基线数据库管理系统Oracle重复口令的使用策略安全基线要求项
项目名称
安全基线关于采纳静态口令认证技术的数据库,应配置数据库,使用户不可以
项说明重复使用近来5次(含5次)内已使用的口令。
检测操作1.以Oracle用户登岸到系统中;
步骤2.以sqlplus‘/assysdba’登岸到sqlplus环境中;
3.履行selectresource_name,limitfromdba_profiles,
dba_userswhere=dba_users
.profileanddba_users.account_status='OPEN'and
resource_name='PASSWORD_REUSE_MAX'。
基线切合查问结果中PASSWORD_REUSE大MAX于等于5。
性判断依
据
备注
认证控制
安全基线数据库管理系统Oracle认证控制策略安全基线要求项
项目名称
安全基线
项说明
关于采纳静态口令认证技术的数据库,应配置当用户连续认证失败次数超出6次(不含6次),锁定该用户使用的账号。
检测操作1.以Oracle用户登岸到系统中;
步骤2.以sqlplus‘/assysdba’登岸到sqlplus环境中;
履行selectresource_name,limitfromdba_profiles,dba_userswhere=dba_users
.profileanddba_users.account_status='OPEN'and
resource_name='FAILED_LOGIN_ATTEMPTS'。
基线切合查问结果中FAILED_LOGIN_ATTEMPTS等于6。
性判断依
据
备注
改正默认帐户密码
安全基线数据库管理系统Oracle默认账户口令策略安全基线要求项项目名称
安全基线改正数据库默认帐号的密码。
项说明
检测操作1.以Oracle用户登岸到系统中;
步骤以system/system、system/manager、sys/sys、
sys/cHAnge_on_install、scott/scott、scott/tiger、
dbsnmp/dbsnmp、rman/rman、xdb/xdb登岸sqlplus环境。
基线切合上述账户口令均不可以成功登录。
性判断依
据
备注
密码改正策略
安全基线数据库管理系统Oracle密码改正策略安全基线要求项项目名称
安全基线Oracle软件账户的接见控制可按照操作系统账户的安全策略,比方
项说明不要共享账户、强拟订期改正密码、密码需要有必定的复杂度等。
检测操作1.以Oracle用户登岸到系统中;
步骤2.以sqlplus‘/assysdba’登岸到sqlplus环境中;
3、履行selectlimitfromdba_profileswhere
resource_name='PASSWORD_LIFE_TIME'andprofilein(select
profilefromdba_userswhereaccount_status='OPEN')。
基线切合查问结果中PASSWORD_LIFE_TIME小于等于90。
性判断依
据
备注
密码复杂度策略
安全基线数据库管理系统Oracle密码复杂度策略安全基线要求项
项目名称
安全基线关于采纳静态口令进行认证的数据库,口令长度起码6位,并包含
项说明数字、小写字母、大写字母和特别符号4类中起码2类。
检测操作1.以Oracle用户登岸到系统中;
步骤2.以sqlplus‘/assysdba’登岸到sqlplus环境中;
3、履行selectlimitfromdba_profileswhere
resource_name='PASSWORD_VERIFY_FUNCTION'andprofilein
(selectprofilefromdba_userswhereaccount_status='OPEN')。
基线切合为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复
性判断依杂度
据
备注第4章日记
日记审计
数据库审计谋略
安全基线数据库管理系统Oracle数据审计谋略安全基线要求项项目名称
安全基线依据业务要求拟订数据库审计谋略。
项说明对用户登录进行记录,记录内容包含用户登录使用的账号、登录是
否成功、登录时间以及远程登录时用户使用的IP地点;
用户对数据库的操作,包含但不限于以下内容:
账号创立、删除和权限改正、口令改正、读取和改正数据库配置、读取和改正业务用户的话费数据、身份数据、波及通讯隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果;
记录对与数据库有关的安全事件。
检测操作1.以Oracle用户登岸到系统中;
步骤2.以sqlplus‘/assysdba’登岸到sqlplus环境中;
3.使用showparameter命令来检查参数audit_trail能否设置;
4.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下能否有数据。
基线切合
参数
audit_trail
不可以设置为
NONE。
性判断依
据
备注
第5章其余
其余配置
设置监听器密码
安全基线数据库管理系统Oracle监听器安全基线要求项
项目名称
安全基线为数据库监听器(LISTENER)的封闭和启动设置密码。
项说明
检测操作
步骤
检查参数PASSWORDS_LISTENER。
文件中能否设置
基线切合
要求正确设置参数PASSWORDS_LISTENER;
性判断依
使用lsnrctlstart或lsnrctlstop命令启停listener
需要密码。
据
备注
加密数据
安全基线数据库管理系统Oracle加密数据安全基线要求项
项目名称
安全基线在相应应用程序条件同意的状况下,使用Oracle供给的高级安全
项说明选件来加密客户端与数据库之间或中间件与数据库之间的网络传
输数据。
检测操作检查文件中能否设置
步骤等参数
基线切合
对重要的数据库系统,要求正确设置参数
;
性判断依经过网络层捕捉的数据库传输包为加密包。
据
备注第6章连续改良
本文件由XXX按期进行审察,依据审察结果订正标准,并从头颁发履行。