Oracle安全配置基线

Oracle 数据库系统安全配置基线 OracleOracle 数据库系统安全配置基线数据库系统安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 4 月 中国移动集团公司第 1 页 共 14 页 Oracle 数据库系统安全配置基线 版本版本 V1.0 V2.0 备注：备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 创建 更新 版本控制信息版本控制信息更新日期更新日期 2009 年 1 月 2012 年 4 月 更新人更新人审批人审批人 中国移动集团公司第 2 页 共 14 页 Oracle 数据库系统安全配置基线 目目录录 第第 1 1 章章概述概述 . . 4 4 1.1 1.2 1.3 1.4 1.5 目的 . 4 适用范围 . 4 适用版本 . 4 实施 . 4 例外条款 . 4 第第 2 2 章章帐号帐号 . . 5 5 2.1帐号安全 . 5 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 删除不必要帐号*.5 限制超级管理员远程登录*.5 用户属性控制.6 数据字典访问权限.6 TNS 登录 IP 限制*.7 第第 3 3 章章口令口令 . . 8 8 3.1口令安全 . 8 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 帐号口令的生存期.8 重复口令使用.8 认证控制*.9 更改默认帐号密码.9 密码更改策略.10 密码复杂度策略.10 第第 4 4 章章日志日志 . . 1 12 2 4.1日志审计 . 12 4.1.1数据库审计策略*.12 第第 5 5 章章其他其他 . . 1 13 3 5.1其他配置 . 13 5.1.1 5.1.2 设置监听器密码.13 加密数据*.13 第第 6 6 章章评审与修订评审与修订 . . 1 14 4 中国移动集团公司第 3 页 共 14 页 Oracle 数据库系统安全配置基线 第第1 1章章 概述概述 1.11.1 目的目的 本文档规定了中国移动管理信息系统部所维护管理的ORACLE 数据库系统应当遵循的 数据库安全性设置标准，本文档旨在指导数据库管理人员进行ORACLE 数据库系统的安全 配置。 1.21.2 适用范围适用范围 本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的 ORACLE 数据库系统。 1.31.3 适用版本适用版本 ORACLE 数据库系统。 1.41.4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部， 在本标准的执行过程中若 有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.51.5 例外条款例外条款 欲申请本标准的例外条款， 申请人必须准备书面申请文件， 说明业务需求和原因，送交 中国移动通信有限公司管理信息系统部进行审批备案。 中国移动集团公司第 4 页 共 14 页 Oracle 数据库系统安全配置基线 第第2 2章章 帐号帐号 2.12.1 帐号安全帐号安全 2.1.12.1.1 删除不必要帐号删除不必要帐号* * 安全基线项安全基线项 目名称目名称 安全基线编安全基线编 号号 安全基线项安全基线项 说明说明 检测操作步检测操作步 骤骤 基线符合性基线符合性 判定依据判定依据 备注备注 数据库管理系统 Oracle 删除不必要帐号安全基线要求项 SBL-Oracle-02-01-01 应删除或锁定与数据库运行、维护等工作无关的帐号。 首先锁定不需要的用户 在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与 工作无关的帐号。 手工判断 2.1.22.1.2 限制超级管理员远程登录限制超级管理员远程登录* * 安全基线项安全基线项 目名称目名称 安全基线编安全基线编 号号 安全基线项安全基线项 说明说明 检测操作步检测操作步 骤骤 数据库管理系统 Oracle 远程登录安全基线要求项 SBL-Oracle-02-01-02 限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。 1. 以 Oracle 用户登陆到系统中。 2. 以 sqlplus ‘/as sysdba’登陆到 sqlplus 环境中。 3. 使用 show parameter命令来检查参数 REMOTE_LOGIN_PASSWORDFILE 设置。 Show parameter REMOTE_LOGIN_PASSWORDFILE 4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数 中国移动集团公司第 5 页 共 14 页 Oracle 数据库系统安全配置基线 SQLNET.AUTHENTICA TION_SERVICES设置。 基线符合性基线符合性 判定依据判定依据 1.参数 REMOTE_LOGIN_PASSWORDFILE设置为 NONE; （限制远程登 录） 2.sqlnet.ora 文件中参数 SQLNET.AUTHENTICATION_SERVICES设置成 NONE;（限制本地帐号权限登录） 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。例外情 况： 若存在 rman 备份， 有从远程发起的备份， 比如： connect sys/***@crmdb11 as sysdba需重点确认是否有影响。 备注备注 2.1.32.1.3 用户属性控制用户属性控制 安全基线项安全基线项 目名称目名称 安全基线编安全基线编 号号 安全基线项安全基线项 说明说明 检测操作步检测操作步 骤骤 基线符合性基线符合性 判定依据判定依据 备注备注 数据库管理系统 Oracle 用户属性控制策略安全基线要求项 SBL-Oracle-02-01-03 对用户的属性进行控制，主要为密码策略。 1. 以 DBA 用户登陆到 sqlplus 中。 2.查询视图 dba_profiles 和 dba_usres 来检查 profile 是否创建。 1.可通过设置 profile 来限制数据库帐号口令的复杂程度，口令生存周期和帐 号的锁定方式等。 2.1.42.1.4 数据字典访问权限数据字典访问权限 安全基线项安全基线项 目名称目名称 安全基线编安全基线编 号号 安全基线项安全基线项 说明说明 检测操作步检测操作步 骤骤 数据库管理系统 Oracle 数据字典访问权限策略安全基线要求项 SBL-Oracle-02-01-04 启用数据字典保护，只有SYSDBA 权限用户才能访问数据字典基础表。 1. 以 Oracle 用户登陆到系统中。 2. 以 sqlplus ‘/as sysdba’登陆到 sqlplus 环境中。 3. 使用 show parameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY 基线符合性基线符合性 判定依据判定依据 参数 O7_DICTIONARY_ACCESSIBILITY是否设置为 FALSE 中国移动集团公司第 6 页 共