Oracle数据库安全配置基线.docx

1、Oracle数据库安全配置基线Oracle数据库安全配置基线第 1 章 概述 11.1 目的 11.2 适用范围 11.3 适用版本 1第 2 章 账号 12.1 账号安全 12.1.1 删除不必要账号 12.1.2 限制超级管理员远程登录 22.1.3 用户属性控制 22.1.4 数据字典访问权限 3第 3 章 口令 33.1 口令安全 33.1.1账户口令的生存期 33.1.2重复口令使用 43.1.3认证控制 43.1.4更改默认帐户密码 53.1.5密码更改策略 53.1.6密码复杂度策略 6第4章日志 64.1日志审计 64.1.1数据库审计策略 6第 5 章 其他 75.1 其他配

2、置 75.1.1 设置监听器密码 75.1.2 加密数据 8第 6 章 持续改进 8第1章概述1.1目的本文规定了 Oracle数据库应当遵循的安全性设置标准， 本文档旨在指导系统管理人员或安全检查人员进行Oracle数据库的安全合规性检查和配置。1.2适用范围本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括： Oracle数据库服务器。1.3适用版本适用于 Oracle 10g。第2章账号2.1账号安全2.1.1删除不必要账号安全基线项目名称数据库管理系统Oracle删除不必要帐号安全基线要求项安全基线项应删除或锁定与数据库运行、维护等工作无关的账

3、号。说明检测操作步首先锁定不需要的用户骤在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除。基线符合性结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与判定依据工作无关的账号。备注2.1.2限制超级管理员远程登录安全基线项目名称数据库管理系统Oracle远程登录安全基线要求项安全基线项说明限制具备数据库超级管理员（SYSDBA权限的用户远程登录。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以 sqlplus /as sysdba 登陆到 sqlplus 环境中。3. 使用 show parameter 命令来检查参数 REMOTE LOGIN PASSWO

4、RD段置E。Show parameter REMOTE_LOGIN_PASSWORDFILE4. 检查在 $ORACLE HOME/network/admin/sqlnet.ora 文件中参数SQLNET.AUTHENTICATION_SERVIC设置。基线符合性判定依据参数 REMOTE_LOGIN_PASSWORDI设置为 NONE;sqlnet.ora 文件中参数 SQLNET.AUTHENTICATION_SERVIC设置成 NONE备注2.1.3用户属性控制安全基线项目名称数据库管理系统Oracle用户属性控制策略安全基线要求项安全基线项说明对用户的属性进行控制，包括密码策略、资源限

5、制等。检测操作步骤1. 以DBA用户登陆到 sqlplus 中；2. 查询视图dba profiles 和dba usres来检查profile 是否创建。基线符合性判定依据1. 可通过设置profile 来限制数据库账户口令的复杂程度，口令生存周期和账户的锁定方式等；2. 可通过设置profile 来限制数据库账户的 CPU资源占用。备注22.1.4数据字典访问权限安全基线项目名称数据库管理系统Oracle数据字典访问权限策略安全基线要求项安全基线项说明启用数据字典保护，只有 SYSDBA用户才能访问数据字典基础表。检测操作步骤1. 以Oracle用户登陆到系统中；2. 以 sqlplus

6、/as sysdba 登陆到 sqlplus 环境中；3. 使用 show parameter 命令检查参数 O7 DICTIONARY ACCESSIBILITY基线符合性判定依据select VALUE from v$parameter whereNAME=O7_DICTIONARY_ACCESSIBILIT是否设置为 FALSE备注第3章口令3.1 口令安全3.1.1账户口令的生存期安全基线项目名称数据库管理系统Oracle账户口令生存期安全基线要求项安全基线项说明在相应应用程序条件允许的情况下，对于采用静态口令认证技术的数据库，账户口令的生存期不长于 90天。检测操作步骤1. 以Ora

7、cle用户登陆到系统中；2. 以 sqlplus /as sysdba 登陆到 sqlplus 环境中；3. 执行 select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users.profile and dba_users.acco un t_status=OPEN andresource_ name=PASSWORD_GRACE_TIME基线符合性判定依据查询结果中 PASSWORD GRACE TM于等于 90。备注3.1.2重复口令使用安全基线项目名称数据库管理

8、系统Oracle重复口令的使用策略安全基线要求项安全基线项说明对于米用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用 最近5次（含5次）内已使用的口令。检测操作步骤1. 以Oracle用户登陆到系统中；2. 以 sqlplus /as sysdba 登陆到 sqlplus 环境中；3. 执行 select resource.name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users.profile and dba_users.acco un t_status=OPEN andreso

9、urce. name=PASSWORD_REUSE_MAX基线符合性判定依据查询结果中 PASSWORD REUSE MAX等于 5。备注3.1.3认证控制安全基线项目名称数据库管理系统Oracle认证控制策略安全基线要求项安全基线项说明对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检测操作步骤1. 以Oracle用户登陆到系统中；2. 以 sqlplus /as sysdba 登陆到 sqlplus 环境中；3. 执行 select resource.name, limit from dba_profiles, dba_usersw

10、here dba_profiles.profile = dba_users.profile and dba_users.acco un t_status=OPEN andresource. name=FAILED_LOGIN_ATTEMPTS。基线符合性判定依据查询结果中 FAILED LOGIN ATTEMPT等于 6。备注3.1.4更改默认帐户密码安全基线项目名称数据库管理系统Oracle默认账户口令策略安全基线要求项安全基线项说明更改数据库默认帐号的密码。检测操作步骤1. 以Oracle用户登陆到系统中；2. 以 system/system 、 system/ma nager 、 sys

11、/sys 、sys/cHAnge_on_install 、scott/scott 、scott/tiger 、dbsnmp/dbsnmp、rman/rman、xdb/xdb 登陆 sqlplus 环境。基线符合性判定依据上述账户口令均不能成功登录。备注3.1.5密码更改策略安全基线项目名称数据库管理系统Oracle密码更改策略安全基线要求项安全基线项说明Oracle软件账户的访冋控制可遵循操作系统账户的安全策略， 比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。检测操作步骤1. 以Oracle用户登陆到系统中；2. 以 sqlplus /as sysdba 登陆到 sqlplus

12、 环境中；3. 执行 select limit from dba_profiles whereresource_ name=PASSWORD_LIFE_TIME and profile in (select profile from dba_users where acco un t_status=OPEN) 。基线符合性查询结果中PASSWORD LIFE TIM小于等于90。判定依据备注3.1.6密码复杂度策略安全基线项目名称数据库管理系统Oracle密码复杂度策略安全基线要求项安全基线项说明对于采用静态口令进行认证的数据库，口令长度至少 6位，并包括数字、小写字母、大写字母和特殊符号 4

13、类中至少2类。检测操作步骤1. 以Oracle用户登陆到系统中；2. 以 sqlplus /as sysdba 登陆到 sqlplus 环境中；3. 执行 select limit from dba_profiles whereresource. name=PASSWORD_VERIFY_FUNCTIONa nd profile in (selectprofile from dba_users where acco un t_status=OPEN) 。基线符合性判定依据为用户建profile ，调整PASSWORD_VERIFY_FUNCTION定密码复杂度备注第4章日志4.1日志审计4.1

14、.1数据库审计策略安全基线项目名称数据库管理系统Oracle数据审计策略安全基线要求项安全基线项根据业务要求制定数据库审计策略。说明对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的 IP地址；用户对数据库的操作， 包括但不限于以下内容： 账号创建、删除和权限修改、 口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份 数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以 及操作结果；记录对与数据库相关的安全事件。检测操作步骤1. 以Oracle用户登陆到系统中；2. 以 sqlplus /as sysdba 登陆到

15、sqlplus 环境中；3. 使用show parameter 命令来检查参数 audit trail 是否设置；4. 检查 dba audit trail 视图中或 $ORACLE BASE/admin/adum目录下是否有数据。基线符合性判定依据参数audit_trail 不能设置为NONE备注第5章其他5.1其他配置5.1.1设置监听器密码安全基线项数据库管理系统Oracle监听器安全基线要求项目名称安全基线项为数据库监听器（LISTENER的关闭和启动设置密码。说明检测操作步检查 $ORACLE HOME/network/admin/listener.ora 文件中是否设置参数骤PAS

16、SWORDS_LISTENER基线符合性要求正确设置参数 PASSWORDS_LISTENER判定依据使用Isnrctl start 或Isnrctl stop 命令启停listener 需要密码。备注5.1.2加密数据安全基线项目名称数据库管理系统Oracle加密数据安全基线要求项安全基线项在相应应用程序条件许可的情况下， 使用Oracle提供的高级安全选件来加密说明客户端与数据库之间或中间件与数据库之间的网络传输数据。检测操作步检查 $ORACLE HOME/network/admin/sqlnet.ora 文件中是否设置骤sqln et.e ncrypti on 等参数基线符合性对重要的数据库系统，要求正确设置参数 sql net.e ncryption ；判定依据通过网络层捕获的数据库传输包为加密包。备注第6章持续改进本文件由XXX定期进行审查，根据审查结果修订标准，并重新颁发执行。欢迎您的下载，资料仅供参考!致力为企业和个人提供合同协议，策划案计划书，学习资料等等打造全网一站式需求