《Oracle安全配置基线.doc》由会员分享,可在线阅读,更多相关《Oracle安全配置基线.doc(16页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、-作者xxxx-日期xxxxOracle安全配置基线【精品文档】Oracle数据库系统安全配置基线中国移动通信有限公司 管理信息系统部2012年 4月版本版本控制信息更新日期更新人审批人创建2009年1月V更新2012年4月备注:1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。目 录第1章概述4目的4适用范围4适用版本4实施4例外条款4第2章帐号5帐号安全5删除不必要帐号*5限制超级管理员远程登录*5用户属性控制6数据字典访问权限6TNS登录IP限制*7第3章口令8口令安全8帐号口令的生存期8重复口令使用8认证控制*9更改默认帐号密码9密码更改策略10密码复杂度策略
2、10第4章日志12日志审计12数据库审计策略*12第5章其他13其他配置13设置监听器密码13加密数据*13第6章评审与修订14第1章 概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的ORACLE数据库系统应当遵循的数据库安全性设置标准,本文档旨在指导数据库管理人员进行ORACLE数据库系统的安全配置。1.2 适用范围本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的ORACLE数据库系统。1.3 适用版本ORACLE数据库系统。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在
3、本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。第2章 帐号2.1 帐号安全2.1.1 删除不必要帐号*安全基线项目名称数据库管理系统Oracle删除不必要帐号安全基线要求项安全基线编号SBL-Oracle-02-01-01 安全基线项说明 应删除或锁定与数据库运行、维护等工作无关的帐号。检测操作步骤首先锁定不需要的用户在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除基线符合性判定依据结合要求和实际业务情况判断符合要求,
4、删除或锁定与设备运行、维护等与工作无关的帐号。备注手工判断2.1.2 限制超级管理员远程登录*安全基线项目名称数据库管理系统Oracle远程登录安全基线要求项安全基线编号SBL-Oracle-02-01-02 安全基线项说明 限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE设置。Show parameter REMOTE_LOGIN_PASSWORDFILE。基
5、线符合性判定依据1. 参数REMOTE_LOGIN_PASSWORDFILE设置为NONE; (限制远程登录)2. sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置成NONE;(限制本地帐号权限登录)备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。例外情况:若存在rman备份,有从远程发起的备份,比如:connect sys/*crmdb11 as sysdba 需重点确认是否有影响。2.1.3 用户属性控制安全基线项目名称数据库管理系统Oracle用户属性控制策略安全基线要求项安全基线编号SBL-Oracle-02-01-03 安
6、全基线项说明 对用户的属性进行控制,主要为密码策略。检测操作步骤1. 以DBA用户登陆到sqlplus中。2.查询视图dba_profiles和dba_usres来检查profile是否创建。基线符合性判定依据帐号口令的复杂程度,口令生存周期和帐号的锁定方式等。备注2.1.4 数据字典访问权限安全基线项目名称数据库管理系统Oracle数据字典访问权限策略安全基线要求项安全基线编号SBL-Oracle-02-01-04 安全基线项说明 启用数据字典保护,只有SYSDBA权限用户才能访问数据字典基础表。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登
7、陆到sqlplus环境中。3. 使用show parameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY基线符合性判定依据参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE备注2.1.5 TNS登录IP限制*安全基线项目名称数据库管理系统Oracle数据字典访问权限策略安全基线要求项安全基线编号SBL-Oracle-02-01-05安全基线项说明 通过数据库所在操作系统或防火墙限制,只有信任的IP 地址才能通过监听器访问数据库。检测操作步骤1. 参考配置操作只需在服务器上的文件$ORACLE_HOME/network/admin/sqln
8、et.ora 中设置以下行:tcp.validnode_checking = yestcp.invited_nodes = (ip1,ip2)2、补充操作说明如果网络层已经做过访问控制,该项为可选项,否则为必选项可信内网地址指:专用维护终端、访问数据库应用服务器、堡垒机,其他地址段禁止。基线符合性判定依据1、判定条件在非信任的客户端以数据库帐号登陆被提示拒绝。2、检测操作检查$ORACLE_HOME/network/admin/sqlnet.ora 文件中是否设置参数tcp.validnode_checking 和。备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。第3章 口令3
9、.1 口令安全3.1.1 帐号口令的生存期安全基线项目名称数据库管理系统Oracle帐号口令生存期安全基线要求项安全基线编号SBL-Oracle-03-01-01 安全基线项说明 对于采用静态口令认证技术的数据库,帐号口令的生存期不长于90天。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3、执行select limit from dba_profiles where resource_name=PASSWORD_LIFE_TIME and profile in (select profile from dba_use
10、rs where account_status=OPEN基线符合性判定依据查询结果中PASSWORD_LIFE_TIME小于等于90。备注3.1.2 重复口令使用安全基线项目名称数据库管理系统Oracle重复口令的使用策略安全基线要求项安全基线编号SBL-Oracle-03-01-02 安全基线项说明 对于采用静态口令认证技术的数据库,应配置数据库,使用户不能重复使用最近5次(含5次)内已使用的口令。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3. 执行select resource_name, limit from
11、 dba_profiles, dba_users where dba_profiles.profile = dba_users.profile and dba_users.account_status=OPEN and resource_name=PASSWORD_REUSE_MAX;基线符合性判定依据查询结果中PASSWORD_REUSE_MAX大于等于5。备注3.1.3 认证控制*安全基线项目名称数据库管理系统Oracle认证控制策略安全基线要求项安全基线编号SBL-Oracle-03-01-03 安全基线项说明 对于采用静态口令认证技术的数据库,应配置当用户连续认证失败次数超过10次,锁
12、定该用户使用的帐号。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3. 执行select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users.profile and dba_users.account_status=OPEN and resource_name=FAILED_LOGIN_ATTEMPTS;基线符合性判定依据查询结果中FAILED_LOGIN_ATTEMPTS等于10。备注根据应用
13、场景的不同,如部署场景需开启此功能,则强制要求此项。对核心库、生产用户不能设置此基线。误操作或恶意超过10次,导致用户锁定,有一定风险,可能会导致应用异常3.1.4 更改默认帐号密码安全基线项目名称数据库管理系统Oracle默认帐号口令策略安全基线要求项安全基线编号SBL-Oracle-03-01-04 安全基线项说明 更改数据库默认帐号的密码。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以system/system、system/manager 、sys/sys、sys/cHAnge_on_install 、scott/scott、scott/tiger、dbsnmp/dbsnm
14、p 、rman/rman、xdb/xdb登陆sqlplus环境。基线符合性判定依据上述帐号口令均不能成功登录。备注3.1.5 密码更改策略安全基线项目名称数据库管理系统Oracle密码更改策略安全基线要求项安全基线编号SBL-Oracle-03-01-05 安全基线项说明 设置帐号宽限期检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3. 执行select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_
15、users.profile and dba_users.account_status=OPEN and resource_name=PASSWORD_GRACE_TIME基线符合性判定依据查询结果中PASSWORD_GRACE_TIME小于等于7。备注密码过期后7天内不修改密码,密码将失效3.1.6 密码复杂度策略安全基线项目名称数据库管理系统Oracle密码复杂度策略安全基线要求项安全基线编号SBL-Oracle-03-01-06 安全基线项说明 对于采用静态口令进行认证的数据库,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至
16、少每90天进行更换。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3、执行select limit from dba_profiles where resource_name=PASSWORD_VERIFY_FUNCTION and profile in (select profile from dba_users where account_status=OPEN基线符合性判定依据为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复杂度备注第4章 日志4.1 日志审计4.1.1 数
17、据库审计策略*安全基线项目名称数据库管理系统Oracle数据审计策略安全基线要求项安全基线编号SBL-Oracle-04-01-01 安全基线项说明 根据业务要求制定数据库审计策略。对用户登录进行记录,记录内容包括用户登录使用的帐号、登录是否成功、登录时间以及远程登录时用户使用的IP地址;用户对数据库的操作,包括但不限于以下内容:帐号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户帐号,操作时间,操作内容以及操作结果;记录对与数据库相关的安全事件。检测操作步骤1. 以Oracle用户登陆到系统中。2. 以sqlpl
18、us /as sysdba登陆到sqlplus环境中。3. 使用show parameter命令来检查参数audit_trail是否设置。4.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。基线符合性判定依据参数audit_trail不能设置为NONE。需设置具体的审计内容。可以设置数据库参数audit_sys_operations=true来审计所有SYS用户的操作。备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。通过外围审计实现.数据库开启该项参数后,对数据库性能影响较大。在以往的基线推广中,因数据库审计基线对业务
19、系统影响较大,很难落地实施。第5章 其他5.1 其他配置5.1.1 设置监听器密码安全基线项目名称数据库管理系统Oracle监听器安全基线要求项安全基线编号SBL-Oracle-05-01-01 安全基线项说明 为数据库监听器(LISTENER)的关闭和启动设置密码。检测操作步骤检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDS_LISTENER。基线符合性判定依据要求正确设置参数PASSWORDS_LISTENER;使用lsnrctl start或lsnrctl stop命令起停listener需要密码。备注5.1.2 加密数据*安全基线项目名称数据库管理系统Oracle加密数据安全基线要求项安全基线编号SBL-Oracle-05-01-02 安全基线项说明 使用Oracle提供的高级安全选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据。检测操作步骤基线符合性判定依据要求正确设置参数;通过网络层捕获的数据库传输包为加密包。备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。第6章 评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。【精品文档】
黑公网安备:91230400333293403D