Oracle数据库安全配置基线.doc-得力文库

资源描述

《Oracle数据库安全配置基线.doc》由会员分享，可在线阅读，更多相关《Oracle数据库安全配置基线.doc（10页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、/ Oracle 数据库安全配置基线数据库安全配置基线 / 目目录录第第 1 章章概述概述.1 1.1目的.1 1.2适用范围.1 1.3适用版本.1 第第 2 章章账号账号.1 2.1账号安全.1 2.1.1删除不必要账号.1 2.1.2限制超级管理员远程登录.2 2.1.3用户属性控制.2 2.1.4数据字典访问权限.3 第第 3 章章口令口令.3 3.1口令安全.3 3.1.1账户口令的生存期.3 3.1.2重复口令使用.4 3.1.3认证控制.4 3.1.4更改默认帐户密码.5 3.1.5密码更改策略.5 3.1.6密码复杂度策略.6 第第 4 章章日志日志.7 4.1日志审计.7

2、 4.1.1数据库审计策略.7 第第 5 章章其他其他.8 5.1其他配置.8 5.1.1设置监听器密码.8 5.1.2加密数据.8 第第 6 章章持续改进持续改进.9 / 第第 1 章章概述概述 1.1 目的目的本文规定了 Oracle 数据库应当遵循的安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行 Oracle 数据库的安全合规性检查和配置。 1.2 适用范围适用范围本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括： Oracle 数据库服务器。 1.3 适用版本适用版本适用于 Oracle 10g。第第 2 章章账号账

3、号 2.1 账号安全账号安全 2.1.1 删除不必要账号删除不必要账号安全基线项安全基线项目名称目名称数据库管理系统 Oracle 删除不必要帐号安全基线要求项安全基线项安全基线项说明说明应删除或锁定与数据库运行、维护等工作无关的账号。检测操作步检测操作步骤骤首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除。基线符合性基线符合性判定依据判定依据结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 / 备注备注 2.1.2 限制超级管理员远程登录限制超级管理员远程登录安全基线项安全基线项目名称目名称数

4、据库管理系统 Oracle 远程登录安全基线要求项安全基线项安全基线项说明说明限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。检测操作步检测操作步骤骤 1. 以 Oracle 用户登陆到系统中。 2. 以 sqlplus /as sysdba登陆到 sqlplus 环境中。 3. 使用 show parameter 命令来检查参数 REMOTE_LOGIN_PASSWORDFILE 设置。 Show parameter REMOTE_LOGIN_PASSWORDFILE 4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora 文件中参数 S

5、QLNET.AUTHENTICATION_SERVICES 设置。基线符合性基线符合性判定依据判定依据参数 REMOTE_LOGIN_PASSWORDFILE 设置为 NONE; sqlnet.ora 文件中参数 SQLNET.AUTHENTICATION_SERVICES 设置成 NONE。备注备注 2.1.3 用户属性控制用户属性控制安全基线项安全基线项目名称目名称数据库管理系统 Oracle 用户属性控制策略安全基线要求项安全基线项安全基线项说明说明对用户的属性进行控制，包括密码策略、资源限制等。检测操作步检测操作步骤骤 1. 以 DBA 用户登陆到 sqlplu

6、s 中； 2.查询视图 dba_profiles 和 dba_usres 来检查 profile 是否创建。基线符合性基线符合性判定依据判定依据 1.可通过设置 profile 来限制数据库账户口令的复杂程度，口令生存周期和账户的锁定方式等； 2.可通过设置 profile 来限制数据库账户的 CPU 资源占用。 / 备注备注 2.1.4 数据字典访问权限数据字典访问权限安全基线项安全基线项目名称目名称数据库管理系统 Oracle 数据字典访问权限策略安全基线要求项安全基线项安全基线项说明说明启用数据字典保护，只有 SYSDBA 用户才能访问数据字典基础表。检测操作步检测操

7、作步骤骤 1. 以 Oracle 用户登陆到系统中； 2. 以 sqlplus /as sysdba登陆到 sqlplus 环境中； 3. 使用 show parameter 命令检查参数 O7_DICTIONARY_ACCESSIBILITY。基线符合性基线符合性判定依据判定依据 select VALUE from v$parameter where NAME=O7_DICTIONARY_ACCESSIBILITY是否设置为 FALSE 备注备注第第 3 章章口令口令 3.1 口令安全口令安全 3.1.1 账户口令的生存期账户口令的生存期安全基线项安全基线项目名称目名称数据库管

8、理系统 Oracle 账户口令生存期安全基线要求项安全基线项安全基线项说明说明在相应应用程序条件允许的情况下，对于采用静态口令认证技术的数据库，账户口令的生存期不长于 90 天。检测操作步检测操作步骤骤 1. 以 Oracle 用户登陆到系统中； 2. 以 sqlplus /as sysdba登陆到 sqlplus 环境中； 3. 执行 select resource_name, limit from dba_profiles, dba_users where / dba_profiles.profile = dba_users .profile and dba_users.acc

9、ount_status=OPEN and resource_name=PASSWORD_GRACE_TIME 基线符合性基线符合性判定依据判定依据查询结果中 PASSWORD_GRACE_TIME 小于等于 90。备注备注 3.1.2 重复口令使用重复口令使用安全基线项安全基线项目名称目名称数据库管理系统 Oracle 重复口令的使用策略安全基线要求项安全基线项安全基线项说明说明对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用最近 5 次（含 5 次）内已使用的口令。检测操作步检测操作步骤骤 1. 以 Oracle 用户登陆到系统中； 2. 以 sql

10、plus /as sysdba登陆到 sqlplus 环境中； 3. 执行 select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users .profile and dba_users.account_status=OPEN and resource_name=PASSWORD_REUSE_MAX。基线符合性基线符合性判定依据判定依据查询结果中 PASSWORD_REUSE_MAX 大于等于 5。备注备注 3.1.3 认证控制认证控制安全基线项安全基线项目

11、名称目名称数据库管理系统 Oracle 认证控制策略安全基线要求项安全基线项安全基线项说明说明对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过 6 次（不含 6 次），锁定该用户使用的账号。检测操作步检测操作步骤骤 1. 以 Oracle 用户登陆到系统中； 2. 以 sqlplus /as sysdba登陆到 sqlplus 环境中； / 3. 执行 select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users .profile a

12、nd dba_users.account_status=OPEN and resource_name=FAILED_LOGIN_ATTEMPTS。基线符合性基线符合性判定依据判定依据查询结果中 FAILED_LOGIN_ATTEMPTS 等于 6。备注备注 3.1.4 更改默认帐户密码更改默认帐户密码安全基线项安全基线项目名称目名称数据库管理系统 Oracle 默认账户口令策略安全基线要求项安全基线项安全基线项说明说明更改数据库默认帐号的密码。检测操作步检测操作步骤骤 1. 以 Oracle 用户登陆到系统中； 2. 以 system/system、system/man

13、ager 、sys/sys、sys/cHAnge_on_install 、scott/scott、scott/tiger、dbsnmp/dbsnmp 、rman/rman、xdb/xdb 登陆 sqlplus 环境。基线符合性基线符合性判定依据判定依据上述账户口令均不能成功登录。备注备注 3.1.5 密码更改策略密码更改策略安全基线项安全基线项目名称目名称数据库管理系统 Oracle 密码更改策略安全基线要求项安全基线项安全基线项说明说明 Oracle 软件账户的访问控制可遵循操作系统账户的安全策略，比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。检测操作步

14、检测操作步骤骤 1. 以 Oracle 用户登陆到系统中； 2. 以 sqlplus /as sysdba登陆到 sqlplus 环境中； 3、执行 select limit from dba_profiles where / resource_name=PASSWORD_LIFE_TIME and profile in (select profile from dba_users where account_status=OPEN)。基线符合性基线符合性判定依据判定依据查询结果中 PASSWORD_LIFE_TIME 小于等于 90。备注备注 3.1.6 密码复杂度策略密码复杂度策

15、略安全基线项安全基线项目名称目名称数据库管理系统 Oracle 密码复杂度策略安全基线要求项安全基线项安全基线项说明说明对于采用静态口令进行认证的数据库，口令长度至少 6 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。检测操作步检测操作步骤骤 1. 以 Oracle 用户登陆到系统中； 2. 以 sqlplus /as sysdba登陆到 sqlplus 环境中； 3、执行 select limit from dba_profiles where resource_name=PASSWORD_VERIFY_FUNCTION and profile in

16、(select profile from dba_users where account_status=OPEN)。基线符合性基线符合性判定依据判定依据为用户建 profile，调整 PASSWORD_VERIFY_FUNCTION，指定密码复杂度备注备注第第 4 章章日志日志 4.1 日志审计日志审计 4.1.1 数据库审计策略数据库审计策略安全基线项安全基线项目名称目名称数据库管理系统 Oracle 数据审计策略安全基线要求项 / 安全基线项安全基线项说明说明根据业务要求制定数据库审计策略。对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间

17、以及远程登录时用户使用的 IP 地址；用户对数据库的操作，包括但不限于以下内容：账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果；记录对与数据库相关的安全事件。检测操作步检测操作步骤骤 1. 以 Oracle 用户登陆到系统中； 2. 以 sqlplus /as sysdba登陆到 sqlplus 环境中； 3. 使用 show parameter 命令来检查参数 audit_trail 是否设置； 4.检查 dba_audit_trail 视图中或$ORACL

18、E_BASE/admin/adump 目录下是否有数据。基线符合性基线符合性判定依据判定依据参数 audit_trail 不能设置为 NONE。备注备注第第 5 章章其他其他 5.1 其他配置其他配置 5.1.1 设置监听器密码设置监听器密码安全基线项安全基线项目名称目名称数据库管理系统 Oracle 监听器安全基线要求项安全基线项安全基线项说明说明为数据库监听器（LISTENER）的关闭和启动设置密码。检测操作步检测操作步骤骤检查$ORACLE_HOME/network/admin/listener.ora 文件中是否设置参数 PASSWORDS_LISTENE

19、R。 / 基线符合性基线符合性判定依据判定依据要求正确设置参数 PASSWORDS_LISTENER；使用 lsnrctl start 或 lsnrctl stop 命令启停 listener 需要密码。备注备注 5.1.2 加密数据加密数据安全基线项安全基线项目名称目名称数据库管理系统 Oracle 加密数据安全基线要求项安全基线项安全基线项说明说明在相应应用程序条件许可的情况下，使用 Oracle 提供的高级安全选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据。检测操作步检测操作步骤骤检查$ORACLE_HOME/network/admin/sqlnet.ora 文件中是否设置 sqlnet.encryption 等参数基线符合性基线符合性判定依据判定依据对重要的数据库系统，要求正确设置参数 sqlnet.encryption；通过网络层捕获的数据库传输包为加密包。备注备注第第 6 章章持续改进持续改进本文件由 XXX 定期进行审查，根据审查结果修订标准，并重新颁发执行。

展开阅读全文