ORACLE数据库安全规范.docx
- 文档编号:13544626
- 上传时间:2023-06-15
- 格式:DOCX
- 页数:12
- 大小:18.55KB
ORACLE数据库安全规范.docx
《ORACLE数据库安全规范.docx》由会员分享,可在线阅读,更多相关《ORACLE数据库安全规范.docx(12页珍藏版)》请在冰点文库上搜索。
ORACLE数据库安全规范
数据库安全规范
1概述
1.1适用范围
本规范明确了Oracle数据库安全配置方面的基本要求。
1.2符号和缩略语
缩写
英文描述
中文描述
DBA
DatabaseAdministrator
数据库管理员
2ORACLE安全配置要求
本规范所指的设备为ORACLE数据库。
本规范提出的安全配置要求,在未特别说明的情况下,均适用于ORACLE数据库。
本规范从ORACLE数据库的认证授权功能和其它自身安全配置功能提出安全要求。
2.1账号
ORACLE应提供账号管理及认证授权功能,并应满足以下各项要求。
2.1.1按用户分配帐号
要求内容
应按照用户分配账号,避免不同用户间共享账号。
操作指南
1、参考配置操作
createuserabc1identifiedbypassword1;
createuserabc2identifiedbypassword2;
建立role,并给role授权,把role赋给不同的用户
2、补充操作说明
1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称;
检测方法
3、判定条件
不同名称的用户可以连接数据库
4、检测操作
connectabc1/password1连接数据库成功
5、补充说明
2.1.2删除或锁定无关帐号
要求内容
应删除或锁定与数据库运行、维护等工作无关的账号。
操作指南
1、参考配置操作
alteruserusernamelock;
dropuserusernamecascade;
2、补充操作说明
检测方法
3、判定条件
首先锁定不需要的用户
在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除
4、检测操作
5、补充说明
2.1.3用户权限最小化
要求内容
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
操作指南
1、参考配置操作
grant 权限 tousername;
revoke权限 fromusername;
2、补充操作说明
用第一条命令给用户赋相应的最小权限
用第二条命令收回用户多余的权限
检测方法
3、判定条件
业务测试正常
4、检测操作
业务测试正常
5、补充说明
2.1.4使用ROLE管理对象的权限
要求内容
使用数据库角色(ROLE)来管理对象的权限。
操作指南
1、参考配置操作
1.使用CreateRole命令创建角色。
2.使用用Grant命令将相应的系统、对象或Role的权限赋予应用用户。
2、补充操作说明
检测方法
3、判定条件
对应用用户不要赋予DBARole或不必要的权限。
4、检测操作
1.以DBA用户登陆到sqlplus中。
2.通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。
5、补充说明
2.1.5控制用户属性
要求内容
对用户的属性进行控制,包括密码策略、资源限制等。
操作指南
1、参考配置操作
可通过下面类似命令来创建profile,并把它赋予一个用户
CREATEPROFILE
FAILED_LOGIN_ATTEMPTS6
PASSWORD_REUSE_TIME60
PASSWORD_REUSE_MAX5
PASSWORD_VERIFY_FUNCTIONverify_function
PASSWORD_LOCK_TIME1/24;
ALTERUSER
2、补充操作说明
检测方法
3、判定条件
1.可通过设置profile来限制数据库账户口令的复杂程度,口令生存周期和账户的锁定方式等。
2.可通过设置profile来限制数据库账户的CPU资源占用。
4、检测操作
1.以DBA用户登陆到sqlplus中。
2.查询视图dba_profiles和dba_usres来检查profile是否创建。
5、补充说明
2.2口令
2.2.1静态口令认证的密码复杂度控制
要求内容
对于采用静态口令进行认证的数据库,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
操作指南
1、参考配置操作
为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复杂度
2、补充操作说明
检测方法
3、判定条件
修改密码为不符合要求的密码,将失败
4、检测操作
alteruserabcd1identifiedbyabcd1;将失败
5、补充说明
2.2.2静态口令认证的密码重复使用限制
要求内容
对于采用静态口令认证技术的数据库,应配置数据库,使用户不能重复使用最近5次(含5次)内已使用的口令。
操作指南
1、参考配置操作
为用户建profile,指定PASSWORD_REUSE_MAX为5
2、补充操作说明
当前使用的密码,必需在密码修改5次后才能再次被使用
检测方法
3、判定条件
重用修改5次内的密码,将不能成功
4、检测操作
alteruserusernameidentifiedbypassword1;如果password1在5次修改密码内被使用,该操作将不能成功
5、补充说明
2.2.3更改数据库默认帐号的密码
要求内容
更改数据库默认帐号的密码。
操作指南
1、参考配置操作
1.可通过下面命令来更改默认用户的密码:
ALTERUSERXXXIDENTIFIEDBYXXX;
2.下面是默认用户列表:
ANONYMOUS
CTXSYS
DBSNMP
DIP
DMSYS
EXFSYS
HR
LBACSYS
MDDATA
MDSYS
MGMT_VIEW
ODM
ODM_MTR
OE
OLAPSYS
ORDPLUGINS
ORDSYS
OUTLN
PM
QS
QS_ADM
QS_CB
QS_CBADM
QS_CS
QS_ES
QS_OS
QS_WS
RMAN
SCOTT
SH
SI_INFORMTN_SCHEMA
SYS
SYSMAN
SYSTEM
TSMSYS
WK_TEST
WKPROXY
WKSYS
WMSYS
XDB
2、补充操作说明
检测方法
3、判定条件
不能以用户名作为密码或使用默认密码的账户登陆到数据库。
4、检测操作
1.以DBA用户登陆到sqlplus中。
2.检查数据库默认账户是否使用了用户名作为密码或默认密码。
5、补充说明
2.2.4操作系统级的帐户安全策略
要求内容
Oracle软件账户的访问控制可遵循操作系统账户的安全策略,比如不要共享账户、密码需要有一定的复杂度、禁止telnet登录、禁止使用口令登录方式等。
操作指南
1、参考配置操作
使用操作系统一级的账户安全管理来保护Oracle软件账户。
2、补充操作说明
检测方法
3、判定条件
禁止telnet登录、禁止使用口令登录方式。
4、检测操作
telnet
以oracle用户ssh系统,不能采用口令方式登录。
5、补充说明
2.3数据库版本与补丁
2.3.1数据库版本升级与打补丁
要求内容
要尽可能地堵住潜在的各种漏洞,防止非法用户利用它们侵入数据库系统。
数据库软件版本尽量保持更新,尤其是要及时为数据库安装各种安全补丁
操作指南
1、参考配置操作
Oracle数据库升级文档与补丁包说明文档
2、补充操作说明
检测方法
4、判定条件
检查数据库版本和补丁包是否合适
5、检测操作
6、补充说明
2.4其他
2.4.1Listener设定密码保护
要求内容
为数据库监听器(LISTENER)的关闭和启动设置密码。
操作指南
1、参考配置操作
通过下面命令设置密码:
$lsnrctl
LSNRCTL>change_password
Oldpassword:
Newpassword:
Reenternewpassword:
Connectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT=1521)(IP=FIRST)))
PasswordchangedforLISTENER
Thecommandcompletedsuccessfully
LSNRCTL>save_config
2、补充操作说明
检测方法
3、判定条件
使用lsnrctlstart或lsnrctlstop命令起停listener需要密码
4、检测操作
检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDS_LISTENER。
5、补充说明
RAC数据库不执行该策略
2.4.2设定信任IP集
要求内容
设置只有信任的IP地址才能通过监听器访问数据库。
操作指南
1、参考配置操作
只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设置以下行:
tcp.validnode_checking=yes
tcp.invited_nodes=(ip1,ip2…)
推荐采用软件防火墙实现访问控制,如iptables
2、补充操作说明
检测方法
3、判定条件
在非信任的客户端以数据库账户登陆被提示拒绝。
4、检测操作
检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置参数tcp.validnode_checking和tcp.invited_nodes。
软件防火墙需检查配置。
如:
iptables–list
6、补充说明
HA,RAC或者链接数量超过500不执行该策略
2.4.3限制DBA组中的操作系统用户数量
要求内容
限制在DBA组中的操作系统用户数量,通常DBA组中只有Oracle安装用户。
操作指南
1、参考配置操作
通过/etc/passwd文件来检查是否有其它用户在DBA组中。
2、补充操作说明
检测方法
3、判定条件
无其它用户属于DBA组。
4、检测操作
通过/etc/passwd文件来检查是否有其它用户在DBA组中。
5、补充说明
2.4.4前端数据库分离
要求内容
通过在核心交换机划分VLAN,实现前端服务器和数据库服务器之间分离,配置VLAN间访问控制。
并且隔离数据库服务器只能访问内部资源,不能访问外部资源。
操作指南
1、参考配置操作
由网络工程师协助。
2、补充操作说明
检测方法
3、判定条件
由网络工程师协助。
5、检测操作
补充说明
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ORACLE 数据库 安全 规范