Oracle数据库安全配置规范.docx

Oracle数据库安全配置规范.docx

《Oracle数据库安全配置规范.docx》由会员分享，可在线阅读，更多相关《Oracle数据库安全配置规范.docx（14页珍藏版）》请在冰点文库上搜索。

Oracle数据库安全配置规范

Oracle数据库安全配置规范

1概述

1.1目的

本规范明确了oraclｅ数据库安全配置方面的基本要求。

为了提高oｒacｌe数据库的安全性而提出的。

1.2范围

本规范适用于XＸXXＸ适用的oraｃle数据库版本。

2配置标准

2.1账号管理及认证授权

2.1.1按照用户分配账号

[目的]应按照用户分配账号，避免不同用户共享账号。

[具体配置]

createuser　abc1identifiｅd　ｂｙｐasswoｒd1；

crｅatｅｕserabc2iｄentｉｆｉｅｄ　ｂy　password2;

建立role，并给role授权，把roｌe赋给不同的用户删除无关账号。

[检测操作]

2.1.2删除无用账号

[目的］应删除或锁定与数据库运行、维护等工作无关的账号。

[具体配置]

aｌteruserusernamｅｌock;

dｒopuseruｓernamecａscａde;

［检测操作]

2.1.3限制DBＡ远程登入

［目的]限制具备数据库超级管理员（SYSＤＢA）权限的用户远程登录。

[具体配置]

1.在spｆile中设置RＥMOTE_LOＧIN_PＡSSＷORDFIＬE=ＮＯNE来禁止SYSDBA用户从远程登陆。

2.在sqlnet.orａ中设置SQLNET.AUTHＥＮＴICATIＯＮ_ＳＥRＶICES=NONE来禁用SYSＤBA角色的自动登入。

[检测操作]

1.以Oraｃle用户登入到系统中。

2.以sｑlpｌｕｓ‘/as　ｓyｓdbａ’登入到sqlpｌｕs环境中。

3.使用shoｗｐarameter命令来检查参数REMOTE＿ＬOGIN_PASSWORDFＩＬE是否设置为NＯNE。

ShowpａrametｅrREMOTE＿LOＧIN_ＰASSWORDFＩLＥ

4.检查在$ＯRACLE＿HOME/netwoｒk/admin/sqｌnet.ora文件参数SQLNＥT.AＵTHENTICATION_SEＲＶICES是否被设置成NＯNE.

2.1.4最小权限

[目的]在数据库权限配置能力内,根据用户的业务需要，配置其所需的最小权限。

[具体配置]

！

给用户赋相应的最小权限

grant权限touｓernamｅ;

！

收回用户多余的权限

revｏke权限fromusernａme;

[检测操作]

2.1.5数据库角色

[目的]使用数据库角色（ＲOLE）来管理对象的权限。

［具体配置]

1.使用Cｒeate　Rｏle命令创建角色。

2.使用Grａnt命令将相应的系统、对象或Roｌe的权限赋予应用用户。

[检测操作］

1.以DＢＡ用户登入到sqｌｐlｕs中。

2.通过查询ｄｂa_ｒolｅ_prｉvs、dba_sys_pｒiｖs和dba_taｂ_privs等视图来检查是否使用RＯＬE来管理对象权限。

2.1.6用户属性

［目的］对用户的属性进行控制，包括密码策略、资源限制等。

[具体配置]

可通过下面类似命令来创建profiｌｅ,并把它赋予一个用户

CREAＴEPROＦＩＬＥａpp＿useｒ２LIMＩT

FAILＥＤ＿LOGＩN_AＴTＥＭPTS6

PＡSSＷORD＿ＬＩFE＿ＴIME　60

PＡSＳＷOＲD_REＵSＥ_TIMＥ６０

PＡSSWORD_REUSE_ＭAＸ5

PASSWORD_VERIFＹ_FUＮCＴIONｖeｒity_funｃtion

ＰＡSSWORＤ_LOCＫ＿TIME　1/2４

PASＳＷORD＿GRＡCE_ＴIME90；

ＡLTERUＳERｊdPROFＩLＥapｐ＿useｒ2；

！

可通过设置ｐrｏｆilｅ来限制数据库账户口令的复杂程度，口令生产周期和账户的锁定方式等。

！

可通过设置profile来限制数据库账户的CPU资源占用。

[检测操作]

2.1.7数据字典保护

［目的]启用数据字典保护,只有ＳYSDBA用户才能访问数据字典基础表。

[具体配置]

通过设置下面初始化参数来限制只有SYSＤBA权限的用户才能访问数据字典。

O７_DIＣTIONARY_ACCＥSSＩBILＩTY＝FＡLSＥ

［检测操作]

以普通dba用户登入到数据库，不能查看X$开头的表，比如:

selｅct　*fromsys，x$ksｐpi；

１：

以Oｒａｃle用户登入到系统中。

２:

以sqlplus‘／assyｓdba’登入到sｑlplｕs环境中。

3：

使用showpaｒameter　命令来检查参数O7_DIＣTIONARY＿ACCEＳSIBＩLITY是否设置为FＡLSＥ。

ShowｐaｒａmeterＯ7_DICTＩONARY_ＡCCESSIBIＬIＴY

2.1.8DBＡ组操作系统用户数量

[目的]限制在ＤBA组中的操作系统用户数量，通常DBＡ组中只有Ｏraclｅ安装用户。

[具体配置]

通过/etc／ｐasswd文件来检查是否有其它用户在DBA组中。

[检测操作]

无其它用户属于DBＡ组。

或者通过／ｅtc／pasｓｗｄ文件来检查是否有其它用户在ＤBA组中。

2.2口令

2.2.1口令复杂度

［目的]对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

[具体配置］

为用户建profile,调整ＰＡＳSOWＲD_VERIＦY_ＦＵNCTIＯＮ,指定密码复杂度

[检测操作]

修改密码为不符合要求的密码,将失败。

Alteruserａｂcd1idｅｎtifieｄbyabcｄ1；将失败

2.2.2口令期限

［目的]对于采用静态口令认证技术的数据库,账户口令的生存期不长于９0天。

[具体配置］

为用户建相关pｒofiｌe，指定ＰASSＷＯRＤ_GＲAＣE_ＴＩＭE为90天。

[检测操作］

到期不修改密码，密码将会失败。

连接数据库将不会成功coｎｎｅctusername/ｐａｓｓwoｒd报错

2.2.3口令历史

[目的］对于采用静态口令认证技术的数据库，应配置数据库,使用户不能重复使用最近5次（含5次）内使用的口令。

［具体配置]

为用户建profｉle,指定PASSＷOＲD_ＲEUSE_MAX为5

[检测操作］

alterusｅrｕsernａmeｉｄentifiｅdbypasｓwoｒd;如果paｓswｏrd1在５次修改密码内被使用，改操作将不成功。

2.2.4失败登录次数

[目的]对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过6次（不含６次），锁定该用户使用的账号。

[具体配置]

为用户建proｆｉlｅ，指定FAIＬＥＤ_ＬOＧＩN_AＴTEＭPTS为6

［检测操作]

coｎnecｔuseｒｎame/ｐassword,连续6次失败，用户被锁定。

连续６次用错误的密码连接用户，第7次时用户将被锁定。

2.2.5默认账号的密码

[目的]更改数据库默认账号的密码。

[具体配置]

AＬTＥRＵSＥRXXXIＤENTIＦIED　ＢYXＸＸ;

下面是默认用户列表:

AＮONYＭOUS

CTXＳYＳ

DBＳNMP

ＤIP

DMSYS

EXＦSYＳ

HR

LBACSYＳ

ＭDDATA

MＤSYS

ＭGMT_VＩEW

ODＭ

ODM_ＭTR

OE

ＯLAPSＹS

ORDPＬUGINS

ＯＲＤSYS

OUTLN

PM

QS

QS＿AＤM

QS_CB

QS＿CBAＤM

QＳ_CＳ

QS_ＥＳ

QS＿OＳ

QS_WS

RＭAＮ

ＳＣＯＴT

SH

SI_IＮＦＯRMTＮ_SCHＥMA

ＳＹＳ

SYSＭＡN

SYSTＥM

TSＭSYS

ＷK_TＥSＴ

WKPRＯXY

WＫSYS

ＷMＳYＳ

XＤB

[检测操作］

不能以用户名作为密码或使用默认密码的账户登入到数据库。

或者

1.以DBA用户登入到sqｌｐlus中。

2.检查数据库默认账户是否使用了用户名作为密码或默认密码。

2.2.6遵循操作系统账号策略

[目的]Oraｃle软件账户的访问控制可遵循操作系统账户的安全策略，比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。

[具体配置]

使用操作系统以及的账户安全管理来保护Oｒａcｌｅ软件账户。

[检测操作]

每3个月自动提示更改密码,过期后不能登入。

每3个月强制修改Oraｃlｅ软件账户密码，并且密码需要满足一定的复杂程度,符合操作系统的密码需要。

2.3日志

2.3.1登录日志

[目的]数据库应配置日志功能,对用户登入进行记录，记录内容包括用户登入使用的账号、登入是否成功、登入时间以及远程登入时使用的IP地址。

[具体配置]

创建ＯRＡＣLE登入触发器,记录相关信息，但对IP地址的记录会有困难

1.建表ＬOＧON_TＡＢLE

2.建触发器

ＣＲＥATETＲIGGERTRＩ_LＯＧON

AFTERLOGＯＮONDＡTＡBASE

BEGIN

IＮＳＥRＴINTOLOGON_ＴABLEVAＬUＥＳ（SYS_CONTEXT（‘USERENV’,’SＥＳSIＯＮ_USＥR’），

SＹSDATE）；

EＮＤ;

触发器与AUＤIT会有相应资源开消,请检查系统资源是否充足。

特别是RAC环境,资源消耗较大。

[检测操作]

2.3.2操作日志

[目的]数据库应该配置日志功能,记录用户对数据库的操作,包括但不限于以下内容:

账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。

记录需要包含用户账号，操作时间,操作内容以及操作结果。

[具体配置］

创建ＯＲＡＣLＥ登入触发器,记录相关信息，但对IP地址的记录会有苦难

1．建表LOGOＮ＿TABＬＥ

2．建触发器

ＣRＥＡTETRＩGGＥRTＲI_LOGＯN

ＡFTERＬOGＯNON　DＡTABＡSE

BEGＩN

IＮSＥRTINTＯLＯGOＮ_TABＬＥVALＵES　（SYS＿CONＴEXT（‘USEＲENV’,’SESSIO＿UＳＥR’）,

SYSＤATE）；

ＥND;#

触发器与ＡUDIＴ会有相应资源开消，请检查系统资源是否充足。

特别是RAＣ环境,资源消耗较大。

[检测操作]

2.3.3安全事件日志

[目的］数据库应配置日志功能,记录对与数据库相关的安全事件。

[具体配置]

创建ＯＲACＬE登入触发器,记录相关信息,但对IP地址的记录会有困难

1.建表LOGＯN＿TABlE

2.建触发器

ＣREAＴE　ＴRIGGEＲTＲＩ＿LOGON

ＡFＴＥR　LOGONOＮ　DATABＡSＥ

BＥGIＮ　

INSＥＲTINTO　LＯGON_ＴAＢLEＶＡLUES　（ＳYＳ_ＣONＴEＸＴ（‘USERＥNV’,’ＳＥＳSＩOＮ_USEＲ’），

SＹSDAＴE）;

ＥND；

触发器与AUDIT会有相应的资源开消,请检查系统资源是否充足。

特别是RAC环境，资源消耗较大。

[检测操作]

2.3.4数据库审计策略

［目的]根据业务要求制定数据库审计策略。

［具体配置]

1.通过设置参数aｕdit_traｉl＝ｄb或os来打开数据库审计。

2.然后可以使用Ａuｄit命令对相应的对象进行审计设置。

[检测操作]

对审计的对象进行一次数据库操作，检查操作是否被记录。

1.检查初始化参数audit_tｒaiｌ是否设置。

2.检查dba_audit_ｔrａｉｌ视图中或＄ＯRACLＥ_BAＳＥ/ａdｍｉn/ａdｕmp目录下是否有数据。

ＡUDＩT会有相应资源开消，请检查系统资源是否充足。

特别是RAC环境，资源消耗较大。

2.4其它

2.4.1数据库交叉访问

[目的]使用Ｏrａｃlｅ提供的虚拟私有数据库（VPＤ）和标签安全（OLS）来保护不同用户之间的数据交叉访问。

[具体配置]

1.在表上构建ＶPD可以使用Orａcle所提供的ＰＬ／SQL包ＤＢMＳ_ＲLS控制整个VPD基础架构，具体设置方法较复杂,建议参考Oｒaｃle文档进行配置。

2.Oｒacｌｅ标签安全（OLＳ）是在相关表上通过添加一个标签列来实现复杂的数据安全控制，具体细节请参考Oraｃｌe文档。

[检测操作]

通过视图来检查是否在数据库对象设置了VPD和OLＳ。

查询视图v$vpd_poliｃy和dｂa＿ｐｏｌｉcｉes．

2.4.2限制DＢA权限用户访问敏感数据

［目的]使用Oraｃle提供的Dａｔa　Vault选件来限制有DBA权限的用户访问敏感数据。

[具体配置]

Oracle　DaｔａVaｕlt是作为数据库安全解决方案的一个单独选件,主要功能是将数据库管理帐户的权限和应用数据访问的权限分开,DataVaｕlｔ　可限制有ＤBA权限的用户访问敏感数据。

设置比较复杂，具体细节请参考Oracle文档。

安全事件日志

［检测操作]

以DＢA用户登入,不能查询其它用户下面的数据。

或者，

1.在视图dba_uｓeｒs中查询是否存在dｖｓys用户。

2.在视图dba_ｏbjects中检查是否存在dbms_macａdm对象。

2.4.3数据库监听器

［目的]为数据库监听器（LIＳTEＮER）的关闭和启动设置密码。

［具体配置]

通过下面命令设置密码：

$lｓnｒctｌ

LSＮRＣTＬ＞ｃhange_ｐassworｄ

Oｌdpassworｄ:

Nｅw　ｐasswoｒd：

Noｔdisplayｅｄ

Reenter　nｅwpａsswｏrd:

Not　displａyｅd

Conneｃtinｇto

（DEＳCRIＰTIOＮ=（ADDRESS=（PROTOＣOL=TＣP）（HＯＳT=proｌin1）（PORT=1521）（ＩP=FIＲＳT）））

PａsｓwoｒdchangｅdforLISTＥＮＥR

The　commａndcomplｅｔｅdsuｃcessfully

LSＮRCTL>ｓａｖｅ_ｃｏnfiｇ

[检测操作]

使用lsnrcｔlsｔart或　lsｎｒｃｔlstop命令起停lisｔｅner需要密码。

或者检查＄ORACＬE＿HＯＭE／netwｏrk/admin/lｉsteｎer．ora文件中是否设置参数PＡSSＷORDS_ＬISTＥＮER.

2.4.4访问源限制

[目的]设置只有信任的IP地址才能通过监听器访问数据库。

［具体配置]

只需要在服务器上的文件＄ORACLE_HOME/ｎetｗoｒｋ／admｉn/sqｌｎｅt.ｏｒａ中设置以下行:

tcｐ．vａlidoｎdｅ＿chｅｃking＝yes

tcｐ.inviｔed_noｄes=（ｉｐ1,iｐ2…）

[检测操作]

在非信任的客户端以数据库帐户登录被提示拒绝。

或者,检查$ＯRAＣＬE＿HOMＥ／nｅtｗｏｒｋ/admｉｎ/ｓqlｎeｔ.ora文件中是否设置参数tcp.ｖａlidnｏde_ｃhｅckinｇ和tcp.inviteｄ_noｄｅs.

2.4.5数据流加密

[目的]使用Oｒａcle提供的高级安全选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据。

[具体配置］

1.在OｒacleNｅtManager中选择“OracleAｄvanｃed　Security”

2.然后选择Ｅnｃryp

3.选择Cliｅｎt或Serveｒ选项

4.选择加密类型

5.输入加密种子（可选）

6.选择加密算法（可选）

7.保存网络配置，sqlｎet.ora被更新。

[检测操作]

通过网络层捕获的数据库传输包为加密包。

或者,检查$ＯRACLE_HOME/neｔwork/admin/ｓｑlnet.oｒa文件中是否设置sｑlneｔ．encryｐtioｎ等参数。

2.4.6连接超时

[目的]在某些应用环境下可设置数据库连接超时,比如数据库将自动断开超过1０分钟的空闲远程连接。

［具体配置］

在sqlnｅt．ora中设置下面参数:

ＳQLNEＴ.EXＰＩRE_TＩME＝10

[检测操作]

１0分钟以上的无任何操作的空闲数据库连接被自动断开。

或者，检查$ＯRAＣLE_HOME/netｗoｒk/admｉn／sｑlｎet.ｏra文件中是否设置参数SＱLETEXPＩＲＥ_ＴIME