Oracle數(shù)據(jù)庫平安配置規(guī)范

1概述

1.1目的

本規(guī)范明確了oracle數(shù)據(jù)庫平安配置方面的基本要求。為了提高oracle數(shù)據(jù)庫

的平安性而提出的。

1.2范圍

本規(guī)范適用于XXXXX適用的oracle數(shù)據(jù)庫版本。

2配置標準

2.1賬號管理及認證授權

2.1.1依據(jù)用戶安排賬號

［目的］應依據(jù)用戶安排賬號，避開不同用戶共享賬號。

［詳細配置］

createuserabclidentifiedbypasswordl;

createuserabc2identifiedbypassword2;

建立role,并給role授權，把role賦給不同的用戶刪除無關賬號。

［檢測操作］

2.1.2刪除無用賬號

［目的］應刪除或鎖定與數(shù)據(jù)庫運行、維護等工作無關的賬號。

［詳細配置］

alteruserusernamelock;

dropuserusernamecascade;

［檢測操作］

2.1.3限制DBA遠程登入

［目的］限制具備數(shù)據(jù)庫超級管理員（SYSDBA）權限的用戶遠程登錄。

［詳細配置］

1.在spfile中設置REMOTE_LOGIN_PASSWORDFILE=NONE來禁止SYSDBA用

戶從遠程登陸。

2.在sqlnet.ora中設置SQLNET.AUTHENTICATION_SERVICES=NONE來禁用

SYSDBA角色的自動登入。

［檢測操作］

1.以Oracle用戶登入到系統(tǒng)中。

2.以sqlplus7assysdba,登入到sqlplus環(huán)境中。

3.運用showparameter吩咐來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE是

否設置為

NONEoShowparameterREMOTE_LOGIN_PASSWORDFILE

4.檢查在$ORACLE_HOME/network/admin/sqlnet.ora文件參數(shù)

SQLNET.AUTHENTICATION_SERVICES是否被設置成NONE.

2.1.4最小權限

［目的］在數(shù)據(jù)庫權限配置實力內(nèi)，依據(jù)用戶的業(yè)務須要，配置其所需的最小權限。

［詳細配置］

!給用戶賦相應的最小權限

grant權限tousername;

!收回用戶多余的權限

revoke權限fromusername;

［檢測操作］

2.1.5數(shù)據(jù)庫角色

［目的］運用數(shù)據(jù)庫角色(ROLE)來管理對象的權限。

［詳細配置］

1.運用CreateRole吩咐創(chuàng)建角色。

2.運用Grant吩咐將相應的系統(tǒng)、對象或Role的權限給予應用用戶。

［檢測操作］

1.以DBA用戶登入到sqlplus中。

通過查詢和等視圖來檢查是否

2,dba_role_privssdba_sys_privsdba_tab_privs

運用ROLE來管理對象權限。

2.1.6用戶屬性

［目的］對用戶的屬性進行限制，包括密碼策略、資源限制等。

［詳細配置］

可通過下面類似吩咐來創(chuàng)建profile,并把它給予一個用戶

CREATEPROFILEapp_user2LIMIT

FAILED_LOGIN_ATTEMPTS6

PASSWORD_LIFE_TIME60

PASSWORD_REUSE_TIME60

PASSWORD_REUSE_MAX5

PASSWORD_VERIFY_FUNCTIONverityjunction

PASSWORD_LOCK_TIME1/24

PASSWORD_GRACE_TIME90;

ALTERUSERjdPROFILEapp_user2;

!可通過設置profile來限制數(shù)據(jù)庫賬戶口令的困難程度，口令生產(chǎn)周期和賬戶的

鎖定方式等。

!可通過設置profile來限制數(shù)據(jù)庫賬戶的CPU資源占用。

［檢測操作］

2.1.7數(shù)據(jù)字典愛護

［目的］啟用數(shù)據(jù)字典愛護，只有SYSDBA用戶才能訪問數(shù)據(jù)字典基礎表。

［詳細配置］

通過設置下面初始化參數(shù)來限制只有SYSDBA權限的用戶才能訪問數(shù)據(jù)字典。

07_DICTI0NARY_ACCESSIBILITY=FALSE

［檢測操作］

以一般dba用戶登入到數(shù)據(jù)庫，不能查看乂$開頭的表，比如：

select*fromsys,x$ksppi;

1:以Oracle用戶登入到系統(tǒng)中。

2:以sqlplus'/assysdba'登入到sqlplus環(huán)境中。

3:運用showparameter吩咐來檢查參數(shù)O7_DICTIONARY_ACCESSIBILITY是否

設置為FALSEo

ShowparameterO7_DICTIONARY_ACCESSIBILITY

2.1.8DBA組操作系統(tǒng)用戶數(shù)量

［目的］限制在DBA組中的操作系統(tǒng)用戶數(shù)量，通常DBA組中只有Oracle安裝用

戶。

［詳細配置］

通過/etc/passwd文件來檢查是否有其它用戶在DBA組中。

［檢測操作］

無其它用戶屬于DBA組。或者通過/etc/passwd文件來檢查是否有其它用戶

在DBA組中。

2.2口令

221口令困難度

［目的］對于采納靜態(tài)口令進行認證的數(shù)據(jù)庫，口令長度至少6位，并包括數(shù)字、

小寫字母、大寫字母和特殊符號4類中至少2類。

［詳細配置］

為用戶建profile,調(diào)整PASSOWRD_VERIFY_FUNCTION,指定密碼困難度

［檢測操作］

修改密碼為不符合要求的密碼，將失敗。

Alteruserabcdlidentifiedbyabcdl;將失敗

222口令期限

［目的］對于采納靜態(tài)口令認證技術的數(shù)據(jù)庫，賬戶口令的生存期不長于90天。

［詳細配置］

為用戶建相關profile,指定PASSWORD_GRACE_TIME為90天。

［檢測操作］

到期不修改密碼，密碼將會失敗。連接數(shù)據(jù)庫將不會勝利connect

usemame/password報錯

223口令歷史

［目的］對于采納靜態(tài)口令認證技術的數(shù)據(jù)庫，應配置數(shù)據(jù)庫，運用戶不能重復運

用最近5次（含5次）內(nèi)運用的口令。

［詳細配置］

為用戶建profile,指定PASSWORD_REUSE_MAX為5

［檢測操作］

alteruserusernameidentifiedbypassword;假如passwordl在5次修改密碼內(nèi)被

運用，改操作將不勝利。

224失敗登錄次數(shù)

［目的］對于采納靜態(tài)口令認證技術的數(shù)據(jù)庫，應配置當用戶連續(xù)認證失敗次數(shù)超

過6次（不含6次），鎖定該用戶運用的賬號。

［詳細配置］

為用戶建profile,指定FAILED_LOGIN_ATTEMPTS為6

［檢測操作］

connectusername/password,連續(xù)6次失敗，用戶被鎖定。

連續(xù)6次用錯誤的密碼連接用戶，第7次時用戶將被鎖定。

225默認賬號的密碼

［目的］更改數(shù)據(jù)庫默認賬號的密碼。

［詳細配置］

ALTERUSERXXXIDENTIFIEDBYXXX;

下面是默認用戶列表：

ANONYMOUS

CTXSYS

DBSNMP

DIP

DMSYS

EXFSYS

HR

LBACSYS

MDDATA

MDSYS

MGMT_VIEW

ODM

ODM_MTR

OE

OLAPSYS

ORDPLUGINS

ORDSYS

OUTLN

PM

QS

QS_ADM

QS_CB

QS_CBADM

QS_CS

QS_ES

QS_OS

QS_WS

RMAN

SCOTT

SH

SI_INFORMTN_SCHEMA

SYS

SYSMAN

SYSTEM

TSMSYS

WK_TEST

WKPROXY

WKSYS

WMSYS

XDB

［檢測操作］

不能以用戶名作為密碼或運用默認密碼的賬戶登入到數(shù)據(jù)庫。或者

1.以DBA用戶登入到sqlplus中。

2.檢查數(shù)據(jù)庫默認賬戶是否運用了用戶名作為密碼或默認密碼。

226遵循操作系統(tǒng)賬號策略

［目的］Oracle軟件賬戶的訪問限制可遵循操作系統(tǒng)賬戶的平安策略，比如不要共

享賬戶、強制定期修改密碼、密碼須要有肯定的困難度等。

［詳細配置］

運用操作系統(tǒng)以及的賬戶平安管理來愛護Oracle軟件賬戶。

［檢測操作］

每3個月自動提示更改密碼，過期后不能登入。

每3個月強制修改Oracle軟件賬戶密碼，并且密碼須要滿意肯定的困難程度，

符合操作系統(tǒng)的密碼須要。

2.3日志

2.3」登錄日志

［目的］數(shù)據(jù)庫應配置日志功能，對用戶登入進行記錄，記錄內(nèi)容包括用戶登入運

用的賬號、登入是否勝利、登入時間以及遠程登入時運用的IP地址。

［詳細配置］

創(chuàng)建ORACLE登入觸發(fā)器，記錄相關信息，但對IP地址的記錄會有困難

1.建表LOGONJABLE

2.建觸發(fā)器

CREATETRIGGERTRI_LOGON

AFTERLOGONONDATABASE

BEGIN

INSERTINTOLOGON_TABLEVALUES

(SYS_CONTEXT('USERENV'SESSIONJJSER'),

SYSDATE);

END;

觸發(fā)器與AUDIT會有相應資源開消，請檢查系統(tǒng)資源是否足夠。特殊是RAC

環(huán)境，資源消耗較大。

［檢測操作］

232操作日志

［目的］數(shù)據(jù)庫應當配置日志功能，記錄用戶對數(shù)據(jù)庫的操作，包括但不限于以下

內(nèi)容：賬號創(chuàng)建、刪除和權限修改、口令修改、讀取和修改數(shù)據(jù)庫配置、讀取和

修改業(yè)務用戶的話費數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄須要包含用戶賬

號，操作時間，操作內(nèi)容以及操作結果。

［詳細配置］

創(chuàng)建ORACLE登入觸發(fā)器，記錄相關信息，但對IP地址的記錄會有苦難

1.建表LOGONJABLE

2.建觸發(fā)器

CREATETRIGGERTRI_LOGON

AFTERLOGONONDATABASE

BEGIN

INSERTINTOLOGON_TABLEVALUES

(SYS_CONTEXT('USERENVSESSIO_USER'),

SYSDATE);

END;#

觸發(fā)器與AUDIT會有相應資源開消，請檢查系統(tǒng)資源是否足夠。特殊是

RAC環(huán)境，資源消耗較大。

［檢測操作］

233平安事務日志

［目的］數(shù)據(jù)庫應配置日志功能，記錄對與數(shù)據(jù)庫相關的平安事務。

［詳細配置］

創(chuàng)建ORACLE登入觸發(fā)器，記錄相關信息，但對IP地址的記錄會有困難

1.建表LOGONJABIE

2.建觸發(fā)器

CREATETRIGGERTRI_LOGON

AFTERLOGONONDATABASE

BEGIN

INSERTINTOLOGONTABLEVALUES

(SYS_CONTEXT('USERENV'SESSIONJJSER'),

SYSDATE);

END;

觸發(fā)器與AUDIT會有相應的資源開消，請檢查系統(tǒng)資源是否足夠。特殊是

RAC環(huán)境，資源消耗較大。

［檢測操作］

234數(shù)據(jù)庫審計策略

［目的］依據(jù)業(yè)務要求制定數(shù)據(jù)庫審計策略。

［詳細配置］

1.通過設置參數(shù)audit_trail=db或os來打開數(shù)據(jù)庫審計。

2.然后可以運用Audit吩咐對相應的對象進行審計設置。

［檢測操作］

對審計的對象進行一次數(shù)據(jù)庫操作，檢查操作是否被記錄。

1.檢查初始化參數(shù)audit_trail是否設置。

2.檢查dba_audit_trail視圖中或$ORACLE_BASE/admin/adump書目下是否有數(shù)

據(jù)。

AUDIT會有相應資源開消，請檢查系統(tǒng)資源是否足夠。特殊是RAC環(huán)境，資

源消耗較大。

2.4其它

241數(shù)據(jù)庫交叉訪問

［目的］運用Oracle供應的虛擬私有數(shù)據(jù)庫（VPD）和標簽平安（OLS）來愛護不

同用戶之間的數(shù)據(jù)交叉訪問。

［詳細配置］

1.在表上構建VPD可以運用Oracle所供應的PL/SQL包DBMS_RLS限制整個

VPD基礎架構，詳細設置方法較困難，建議參考Oracle文檔進行配置。

2.Oracle標簽平安（OLS）是在相關表上通過添加一個標簽列來實現(xiàn)困難的數(shù)

據(jù)平安限制，詳細細微環(huán)節(jié)請參考Oracle文檔。

［檢測操作］

通過視圖來檢查是否在數(shù)據(jù)庫對象設置了VPD和OLS。

查詢視圖v$vpd_policy和dba_policies.

242限制DBA權限用戶訪問敏感數(shù)據(jù)

［目的］運用Oracle供應的DataVault選件來限制有DBA權限的用戶訪問敏感數(shù)

據(jù)。

［詳細配置］

OracleDataVault是作為數(shù)據(jù)庫平安解決方案的一個單獨選件，主要功能是將數(shù)

據(jù)庫管理帳戶的權限和應用數(shù)據(jù)訪問的權限分開，DataVault可限制有DBA權

限的用戶訪問敏感數(shù)據(jù)。設置比較困難，詳細細微環(huán)節(jié)請參考Oracle文檔。平

安事務日志

［檢測操作］

以DBA用戶登入，不能查詢其它用戶下面的數(shù)據(jù)。或者，

1.在視圖dba_users中查詢是否存在dvsys用戶。

2.在視圖dba_objects中檢查是否存在dbms_macadm對象。

243數(shù)據(jù)庫監(jiān)聽器

［目的］為數(shù)據(jù)庫監(jiān)聽器(LISTENER)的關閉和啟動設置密碼。

［詳細配置］

通過下面吩咐設置密碼：

$lsnrctl

LSNRCTL>change_password

Oldpassword:<OldPassword>Notdisplayed

NewpasswordsNewPassword>Notdisplayed

ReenternewpasswordsNewPassword>Notdisplayed

Connectingto

(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolinl)(PORT=1521)(IP=

FIRST)))

PasswordchangedforLISTENER

Thecommandcompletedsuccessfully

LSNRCTL>save_config

［檢測操作］

運用Isnrctlstart或Isnrctlstop吩咐起停listener須要密碼。或者檢查

$ORACLE_HOME/network/admin/listener.ora文件中是否設置參數(shù)

PASSWORDS_LISTENER.

2.4.4訪問源限制

［目的］設置只有信任的IP地址才能通過監(jiān)聽器訪問數(shù)據(jù)庫。

［詳細配置］

只須要在服務器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中設置以

下行：

tcp.validonde_checking=yes

tcp.invited_nodes=(ipl,ip2--)

［檢測操作］

在非信任的客戶端以數(shù)據(jù)庫帳戶登錄被提示