ORACLE数据库安全规范.docx
- 文档编号:25169154
- 上传时间:2023-06-05
- 格式:DOCX
- 页数:14
- 大小:157.45KB
ORACLE数据库安全规范.docx
《ORACLE数据库安全规范.docx》由会员分享,可在线阅读,更多相关《ORACLE数据库安全规范.docx(14页珍藏版)》请在冰豆网上搜索。
ORACLE数据库安全规范
数据库安全规范
1概述
1.1适用范围
本规范明确了Oracle数据库安全配置方面的基本要求。
1.2符号和缩略语
缩写
英文描述
中文描述
DBA
DatabaseAdministrator
数据库管理员
2ORACLE安全配置要求
本规范所指的设备为ORACLE数据库。
本规范提出的安全配置要求,在未特别说明的情况下,均适用于ORACLE数据库。
本规范从ORACLE数据库的认证授权功能和其它自身安全配置功能提出安全要求。
2.1账号
ORACLE应提供账号管理及认证授权功能,并应满足以下各项要求。
2.1.1按用户分配帐号
要求内容
应按照用户分配账号,避免不同用户间共享账号。
操作指南
1、参考配置操作
createuserabc1identifiedbypasswordi;
createuserabc2identifiedbypassword2;
建立role,并给role授权,把role赋给不同的用户
2、补充操作说明
1、abcl和abc2是两个不同的账号名称,可根据不同用户,取不同的名称;
检测方法
3、判定条件
不同名称的用户可以连接数据库
4、检测操作
connectabcl/passwordi连接数据库成功
5、补充说明
2.1.2删除或锁定无关帐号
要求内容
应删除或锁疋与数据库运仃、维护等工作无关的账号。
操作指南
1、参考配置操作
alteruserusernamelock;
dropuserusernamecascade;
2、补充操作说明
检测方法
3、判定条件
首先锁定不需要的用户
在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除
4、检测操作
5、补充说明
要求内容
2.1.3用户权限最小化
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权
限。
grant权限tousername;
revoke权限fromusername;
2、补充操作说明
用第一条命令给用户赋相应的最小权限
用第二条命令收回用户多余的权限
业务测试正常
4、检测操作
业务测试正常
5、补充说明
2.1.4使用ROLE管理对象的权限
1.使用CreateRole命令创建角色。
2.使用用Grant命令将相应的系统、对象或Role的权限赋予应用用户。
2、补充操作说明
对应用用户不要赋予DBARole或不必要的权限。
4、检测操作1.以DBA用户登陆到sqlplus中。
2.通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。
5、补充说明
2.1.5控制用户属性
可通过下面类似命令来创建Profile,并把它赋予一个用户
CREATEPROFILE
FAILED_LOGIN_ATTEMPTS6
PASSWORDREUSETIME60
PASSWORD_REUSE_MAX5
PASSWORD_VERIFY_FUNCTIONvenfy_function
PASSWORD_LOCK_TIME1/24;
ALTERUSER 2、补充操作说明 4、检测操作 2.查询视图dba_profiles和dba_usres来检查profile是否创建。 5、补充说明 2.2口令 2.2.1静态口令认证的密码复杂度控制 要求内容 对于采用静态口令进行认证的数据库,口令长度至少6位,并包括数字、 小写字母、大写字母和特殊符号4类中至少2类。 操作指南 1、参考配置操作 为用户建Profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复 杂度 2、补充操作说明 检测方法 3、判定条件 修改密码为不符合要求的密码,将失败 4、检测操作 alteruserabcdlidentifiedbyabcdl;将失败 5、补充说明 2.2.2静态口令认证的密码重复使用限制 要求内容 对于米用静态口令认证技术的数据库,应配置数据库,使用户不能重复使用最近5次(含5次)内已使用的口令。 操作指南 1、参考配置操作 为用户建Profile,指定PASSWORD_REUSE_MAX为5 2、补充操作说明 当前使用的密码,必需在密码修改5次后才能再次被使用 检测方法 3、判定条件 重用修改5次内的密码,将不能成功 4、检测操作 alteruserusernameidentifiedbypassword1;如果password1在5次修改密 码内被使用,该操作将不能成功 5、补充说明 2.2.3更改数据库默认帐号的密码 要求内容 更改数据库默认帐号的密码。 操作指南 1、参考配置操作 1.可通过下面命令来更改默认用户的密码: ANONYMOUS CTXSYS DBSNMP DIP DMSYS EXFSYS HR LBACSYS MDDATA MDSYS ODM ODMMTR OE OLAPSYS ORDPLUGINS ORDSYS OUTLN PM QS QSADM QSCB QSCBADM QSCS QSES QSOS QSWS MGMT_VIEW ALTERUSERXXXIDENTIFIEDBYXXX; 2.下面是默认用户列表: RMAN SCOTT SH SI_INFORMTN_SCHEMA SYS SYSMAN SYSTEM TSMSYS WK_TEST WKPROXY WKSYS WMSYS XDB 检测方法 3、判定条件 不能以用户名作为密码或使用默认密码的账户登陆到数据库。 4、检测操作 1.以DBA用户登陆到sqlplus中。 2.检查数据库默认账户是否使用了用户名作为密码或默认密码。 5、补充说明 2.2.4操作系统级的帐户安全策略 要求内容 Oracle软件账户的访冋控制可遵循操作系统账户的安全策略,比如不要共享账户、密码需要有一定的复杂度、禁止teInet登录、禁止使用口令登录方式等。 操作指南 1参考配置操作 使用操作系统一级的账户安全管理来保护Oracle软件账户。 2、补充操作说明 2、补充操作说明 检测方法 3、判定条件 禁止teInet登录、禁止使用口令登录方式。 4、检测操作telnet 以oracle用户ssh系统,不能采用口令方式登录。 5、补充说明 2.3数据库版本与补丁2.3.1数据库版本升级与打补丁 要求内容 要尽可能地堵住潜在的各种漏洞,防止非法用户利用它们侵入数据库系统。 数据库软件版本尽量保持更新,尤其是要及时为数据库安装各种安全补丁 操作指南 1、参考配置操作 Oracle数据库升级文档与补丁包说明文档 2、补充操作说明 检测方法 4、判定条件 检查数据库版本和补丁包是否合适 5、检测操作 6、补充说明 2.4其他2.4.1Listener设定密码保护 要求内容 为数据库监听器(LISTENER)的关闭和启动设置密码。 操作指南 1、参考配置操作 通过下面命令设置密码: 使用IsnrctIstart或IsnrctIstop命令起停listener需要密码 4、检测操作 检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数 PASSWORDSLISTENER。 5、补充说明 RAC数据库不执行该策略 2.4.2设定信任IP集 要求内容 设置只有信任的IP地址才能通过监听器访问数据库。 操作指南 1参考配置操作 只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设 置以下行: tcp.validnode_checking=yes tcp.invited_nodes=(ip1,ip2…) 推荐采用软件防火墙实现访问控制,如iptables 在非信任的客户端以数据库账户登陆被提示拒绝。 4、检测操作 检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置参数 tcp.validnode_checking禾Rtcp.invited_nodes。 软件防火墙需检查配置。 如: iptables-ist 6、补充说明 HA,RAC或者链接数量超过500不执行该策略 2.4.3限制DBA组中的操作系统用户数量 要求内容 限制在DBA组中的操作系统用户数量,通常用户。 DBA组中只有Oracle安装 操作指南 1参考配置操作 通过/etc/passwd文件来检查是否有其它用户在 2、补充操作说明 DBA组中。 检测方法 3、判定条件 无其它用户属于DBA组。 4、检测操作 通过/etc/passwd文件来检查是否有其它用户在 5、补充说明 DBA组中。 2.4.4前端数据库分离 要求内容 通过在核心交换机划分VLAN,实现前端服务器和数据库服务器之间分 离,配置VLAN间访问控制。 并且隔离数据库服务器只能访问内部资源, 不能访问外部资源。 操作指南 1参考配置操作 由网络工程师协助。 2、补充操作说明 检测方法 3、判定条件由网络工程师协助。 5、检测操作 补充说明
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ORACLE 数据库 安全 规范