管理信息系统Oracle安全配置基线.docx

1、管理信息系统Oracle安全配置基线Oracle数据库系统安全配置基线中国移动通信有限公司 管理信息系统部2009年 3月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章 概述 41.1 目的 41.2 适用范围 41.3 适用版本 41.4 实施 41.5 例外条款 4第2章 账号 52.1 账号安全 52.1.1 删除不必要账号 52.1.2 限制超级管理员远程登录 52.1.3 用户属性控制 62.1.4 数据字典访问权限 6第3章 口令 73.1 口令安全 73.1.1 账户口令

2、的生存期 73.1.2 重复口令使用 73.1.3 认证控制 83.1.4 更改默认帐户密码 83.1.5 密码更改策略 93.1.6 密码复杂度策略 9第4章 日志 114.1 日志审计 114.1.1 数据库审计策略 11第5章 其他 125.1 其他配置 125.1.1 设置监听器密码 125.1.2 加密数据 12第6章 评审与修订 13概述目的本文档规定了中国移动管理信息系统部所维护管理的ORACLE数据库系统应当遵循的数据库安全性设置标准，本文档旨在指导数据库管理人员进行ORACLE数据库系统的安全配置。适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。本配

3、置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的ORACLE数据库系统。适用版本ORACLE数据库系统；实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。账号账号安全1.1.1 删除不必要账号安全基线项目名称数据库管理系统Oracle删除不必要帐号安全基线要求项安全基线编号SBL-Oracle-02-01-01 安全基线项说明 应删除或锁定与数据库运行、维护等工作无关

4、的账号。检测操作步骤首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除基线符合性判定依据结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。备注1.1.2 限制超级管理员远程登录安全基线项目名称数据库管理系统Oracle远程登录安全基线要求项安全基线编号SBL-Oracle-02-01-02 安全基线项说明 限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3. 使用show parameter命令来检查

5、参数REMOTE_LOGIN_PASSWORDFILE设置。Show parameter REMOTE_LOGIN_PASSWORDFILE4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置。基线符合性判定依据参数REMOTE_LOGIN_PASSWORDFILE设置为NONE;sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置成NONE;备注1.1.3 用户属性控制安全基线项目名称数据库管理系统Oracle用户属性控制策略安全基线要求项安全

6、基线编号SBL-Oracle-02-01-03 安全基线项说明 对用户的属性进行控制，包括密码策略、资源限制等。检测操作步骤1. 以DBA用户登陆到sqlplus中。2.查询视图dba_profiles和dba_usres来检查profile是否创建。基线符合性判定依据1.可通过设置profile来限制数据库账户口令的复杂程度，口令生存周期和账户的锁定方式等。2.可通过设置profile来限制数据库账户的CPU资源占用。备注1.1.4 数据字典访问权限安全基线项目名称数据库管理系统Oracle数据字典访问权限策略安全基线要求项安全基线编号SBL-Oracle-02-01-04 安全基线项说明

7、启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3. 使用show parameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY基线符合性判定依据参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE备注口令口令安全1.1.5 账户口令的生存期安全基线项目名称数据库管理系统Oracle账户口令生存期安全基线要求项安全基线编号SBL-Oracle-03-01-01 安全基线项说明 对于采用静态口令认证技术的数据库

8、，账户口令的生存期不长于90天。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3. 执行select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users.profile and dba_users.account_status=OPEN and resource_name=PASSWORD_GRACE_TIME基线符合性判定依据查询结果中PASSWORD_GRACE_TIME小于等于90。备注1

9、.1.6 重复口令使用安全基线项目名称数据库管理系统Oracle重复口令的使用策略安全基线要求项安全基线编号SBL-Oracle-03-01-02 安全基线项说明 对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用最近5次（含5次）内已使用的口令。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3. 执行select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users.profil

10、e and dba_users.account_status=OPEN and resource_name=PASSWORD_REUSE_MAX;基线符合性判定依据查询结果中PASSWORD_REUSE_MAX大于等于5。备注1.1.7 认证控制安全基线项目名称数据库管理系统Oracle认证控制策略安全基线要求项安全基线编号SBL-Oracle-03-01-03 安全基线项说明 对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplu

11、s环境中。3. 执行select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users.profile and dba_users.account_status=OPEN and resource_name=FAILED_LOGIN_ATTEMPTS;基线符合性判定依据查询结果中FAILED_LOGIN_ATTEMPTS等于6。备注1.1.8 更改默认帐户密码安全基线项目名称数据库管理系统Oracle默认账户口令策略安全基线要求项安全基线编号SBL-Oracle-03-0

12、1-04 安全基线项说明 更改数据库默认帐号的密码。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以system/system、system/manager 、sys/sys、sys/cHAnge_on_install 、scott/scott、scott/tiger、dbsnmp/dbsnmp 、rman/rman、xdb/xdb登陆sqlplus环境。基线符合性判定依据上述账户口令均不能成功登录。备注1.1.9 密码更改策略安全基线项目名称数据库管理系统Oracle密码更改策略安全基线要求项安全基线编号SBL-Oracle-03-01-05 安全基线项说明 Oracle软件账户的

13、访问控制可遵循操作系统账户的安全策略，比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3、执行select limit from dba_profiles where resource_name=PASSWORD_LIFE_TIME and profile in (select profile from dba_users where account_status=OPEN基线符合性判定依据查询结果中PASSWORD_LIFE_TIME小于等于90。备注1.1

14、.10 密码复杂度策略安全基线项目名称数据库管理系统Oracle密码复杂度策略安全基线要求项安全基线编号SBL-Oracle-03-01-06 安全基线项说明 对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3、执行select limit from dba_profiles where resource_name=PASSWORD_VERIFY_FUNCTION and profile in (select pr

15、ofile from dba_users where account_status=OPEN基线符合性判定依据为用户建profile，调整PASSWORD_VERIFY_FUNCTION，指定密码复杂度备注日志日志审计1.1.11 数据库审计策略安全基线项目名称数据库管理系统Oracle数据审计策略安全基线要求项安全基线编号SBL-Oracle-04-01-01 安全基线项说明 根据业务要求制定数据库审计策略。对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址；用户对数据库的操作，包括但不限于以下内容：账号创建、删除和权限修改、口令修改、

16、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果；记录对与数据库相关的安全事件。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3. 使用show parameter命令来检查参数audit_trail是否设置。4.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。基线符合性判定依据参数audit_trail不能设置为NONE。备注其他其他配置1.1.12 设置监听器密码安全基线项

17、目名称数据库管理系统Oracle监听器安全基线要求项安全基线编号SBL-Oracle-05-01-01 安全基线项说明 为数据库监听器（LISTENER）的关闭和启动设置密码。检测操作步骤检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDS_LISTENER。基线符合性判定依据要求正确设置参数PASSWORDS_LISTENER；使用lsnrctl start或lsnrctl stop命令起停listener需要密码。备注1.1.13 加密数据安全基线项目名称数据库管理系统Oracle加密数据安全基线要求项安全基线编号SBL-Oracle-05-01-02 安全基线项说明 使用Oracle提供的高级安全选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据。检测操作步骤检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置sqlnet.encryption等参数基线符合性判定依据要求正确设置参数sqlnet.encryption；通过网络层捕获的数据库传输包为加密包。备注评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。