Oracle数据库安全配置基线.docx
《Oracle数据库安全配置基线.docx》由会员分享,可在线阅读,更多相关《Oracle数据库安全配置基线.docx(11页珍藏版)》请在冰点文库上搜索。
Oracle数据库安全配置基线
Oracle数据库安全配置基线
第1章概述1
1.1目的1
1.2适用范围1
1.3适用版本1
第2章账号1
2.1账号安全1
2.1.1删除不必要账号1
2.1.2限制超级管理员远程登录2
2.1.3用户属性控制2
2.1.4数据字典访问权限3
第3章口令3
3.1口令安全3
3.1.1账户口令的生存期3
3.1.2重复口令使用4
3.1.3认证控制4
3.1.4更改默认帐户密码5
3.1.5密码更改策略5
3.1.6密码复杂度策略6
第4章日志6
4.1日志审计6
4.1.1数据库审计策略6
第5章其他7
5.1其他配置7
5.1.1设置监听器密码7
5.1.2加密数据8
第6章持续改进8
第1章概述
1.1目的
本文规定了Oracle数据库应当遵循的安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行Oracle数据库的安全合规性检查和配置。
1.2适用范围本配置标准的使用者包括:
服务器系统管理员、安全管理员和相关使用人员。
本配置标准适用的范围包括:
Oracle数据库服务器。
1.3适用版本
适用于Oracle10g。
第2章账号
2.1账号安全
2.1.1删除不必要账号
安全基线项
目名称
数据库管理系统Oracle删除不必要帐号安全基线要求项
安全基线项
应删除或锁定与数据库运行、维护等工作无关的账号。
说明
检测操作步
首先锁定不需要的用户
骤
在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除。
基线符合性
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与
判定依据
工作无关的账号。
备注
2.1.2限制超级管理员远程登录
安全基线项
目名称
数据库管理系统Oracle远程登录安全基线要求项
安全基线项
说明
限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
检测操作步
骤
1.以Oracle用户登陆到系统中。
2.以sqlplus‘/assysdba'登陆到sqlplus环境中。
3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE设置。
ShowparameterREMOTE_LOGIN_PASSWORDFILE
4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATIONSERVICES设置。
基线符合性
判定依据
参数REMOTE_LOGIN_PASSWORDFILE设置为NONE;
sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置成
NONE。
备注
2.1.3用户属性控制
安全基线项
目名称
数据库管理系统Oracle用户属性控制策略安全基线要求项
安全基线项
说明
对用户的属性进行控制,包括密码策略、资源限制等。
检测操作步
骤
1.以DBA用户登陆到sqlplus中;
2.查询视图dbaprofiles和dbausres来检查profile是否创建。
基线符合性
判定依据
1.可通过设置profile来限制数据库账户口令的复杂程度,口令生存周期和账
户的锁定方式等;
2.可通过设置profile来限制数据库账户的CPU资源占用。
备注
2.1.4数据字典访问权限
安全基线项
目名称
数据库管理系统Oracle数据字典访问权限策略安全基线要求项
安全基线项
说明
启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus‘/assysdba'登陆到sqlplus环境中;
3.使用showparameter命令检查参数O7DICTIONARYACCESSIBILITY。
基线符合性
判定依据
selectVALUEfromv$parameterwhere
NAME='O7DICTIONARYACCESSIBILITY是'否设置为FALSE
备注
第3章口令
3.1口令安全
3.1.1账户口令的生存期
安全基线项
目名称
数据库管理系统Oracle账户口令生存期安全基线要求项
安全基线项
说明
在相应应用程序条件允许的情况下,对于采用静态口令认证技术的数据库,账户口令的生存期不长于90天。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus‘/assysdba'登陆到sqlplus环境中;
3.执行selectresource_name,limitfromdba_profiles,dba_userswheredbaprofiles.profile=dbausers
.profileanddba_users.account_status='OPEN'andresourcename='PASSWORDGRACETIME'
基线符合性
判定依据
查询结果中PASSWORD_GRACE_TIME小于等于90。
备注
3.1.2重复口令使用
安全基线项
目名称
数据库管理系统Oracle重复口令的使用策略安全基线要求项
安全基线项
说明
对于采用静态口令认证技术的数据库,应配置数据库,使用户不能重复使用最近5次(含5次)内已使用的口令。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus‘/assysdba'登陆到sqlplus环境中;
3.执行selectresource_name,limitfromdba_profiles,dba_userswheredba_profiles.profile=dba_users
.profileanddba_users.account_status='OPEN'andresourcename='PASSWORDREUSEMAX'。
基线符合性
判定依据
查询结果中PASSWORD_REUSE_MAX大于等于5。
备注
3.1.3认证控制
安全基线项
目名称
数据库管理系统Oracle认证控制策略安全基线要求项
安全基线项
说明
对于采用静态口令认证技术的数据库,应配置当用户连续认证失败次数超过
6次(不含6次),锁定该用户使用的账号。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus‘/assysdba'登陆到sqlplus环境中;
3.执行selectresourcename,limitfromdbaprofiles,dbauserswhere
dba_profiles.profile=dba_users
.profileanddba_users.account_status='OPEN'andresourcename='FAILEDLOGINATTEMPTS'。
基线符合性
判定依据
查询结果中FAILED_LOGIN_ATTEMPTS等于6。
备注
3.1.4更改默认帐户密码
安全基线项
目名称
数据库管理系统Oracle默认账户口令策略安全基线要求项
安全基线项
说明
更改数据库默认帐号的密码。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以system/system、system/manager、sys/sys、sys/cHAnge_on_install、scott/scott、scott/tiger、dbsnmp/dbsnmp、rman/rman、xdb/xdb登陆sqlplus环境。
基线符合性
判定依据
上述账户口令均不能成功登录。
备注
3.1.5密码更改策略
安全基线项
目名称
数据库管理系统Oracle密码更改策略安全基线要求项
安全基线项
说明
Oracle软件账户的访问控制可遵循操作系统账户的安全策略,比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus‘/assysdba'登陆到sqlplus环境中;
3、执行selectlimitfromdba_profileswhere
resourcename='PASSWORDLIFETIME'andprofilein(selectprofilefrom
dbauserswhereaccountstatus='OPEN')。
基线符合性
判定依据
查询结果中PASSWORD_LIFE_TIME小于等于90。
备注
3.1.6密码复杂度策略
安全基线项
目名称
数据库管理系统Oracle密码复杂度策略安全基线要求项
安全基线项
说明
对于采用静态口令进行认证的数据库,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus‘/assysdba'登陆到sqlplus环境中;
3、执行selectlimitfromdba_profileswhereresource_name='PASSWORD_VERIFY_FUNCTION'andprofilein(selectprofilefromdbauserswhereaccountstatus='OPEN')。
基线符合性
判定依据
为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复杂度
备注
第4章日志
4.1日志审计
4.1.1数据库审计策略
安全基线项
目名称
数据库管理系统Oracle数据审计策略安全基线要求项
安全基线项
根据业务要求制定数据库审计策略。
说明
对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址;用户对数据库的操作,包括但不限于以下内容:
账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果;记录对与数据库相关的安全事件。
检测操作步
骤
1.以Oracle用户登陆到系统中;
2.以sqlplus‘/assysdba'登陆到sqlplus环境中;
3.使用showparameter命令来检查参数audit_trail是否设置;
4.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。
基线符合性
判定依据
参数audit_trail不能设置为NONE。
备注
第5章其他
5.1其他配置
5.1.1设置监听器密码
安全基线项
目名称
数据库管理系统Oracle监听器安全基线要求项
安全基线项
说明
为数据库监听器(LISTENER)的关闭和启动设置密码。
检测操作步
骤
检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDSLISTENER。
基线符合性
要求正确设置参数PASSWORDSLISTENER;
判定依据
使用lsnrctlstart或lsnrctlstop命令启停listener需要密码。
备注
5.1.2加密数据
安全基线项
目名称
数据库管理系统Oracle加密数据安全基线要求项
安全基线项
在相应应用程序条件许可的情况下,使用Oracle提供的高级安全选件来加密
说明
客户端与数据库之间或中间件与数据库之间的网络传输数据。
检测操作步
检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置
骤
sqlnet.encryption等参数
基线符合性
对重要的数据库系统,要求正确设置参数sqlnet.encryption;
判定依据
通过网络层捕获的数据库传输包为加密包。
备注
第6章持续改进
本文件由XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
升级会员 