安全加固方案模板

xxxxx公司安全加固方案文檔日期：xxx文檔版本：xxx本文檔所包含的信息是受xxx公司和xxx公司所簽署的“保密信息交換協(xié)議”保護(hù)和限制。在未事先得到xxx公司和xxx公司書面同意之前，本文檔全部或部份內(nèi)容不得用于其他任55第1章概述55TOC\o"1-5"\h\z\o"CurrentDocument"工作目的55\o"CurrentDocument"加固方法55\o"CurrentDocument"風(fēng)險的應(yīng)對措施55加固步驟66第2章加固內(nèi)容77\o"CurrentDocument"主機(jī)加固77\o"CurrentDocument"網(wǎng)絡(luò)加固88\o"CurrentDocument"未加固項說明99第3章加固列表1010\o"CurrentDocument"主機(jī)加固列表1010\o"CurrentDocument"數(shù)據(jù)庫加固列表1010網(wǎng)絡(luò)加固列表1010第4章加固操作1212\o"CurrentDocument"4.1.網(wǎng)絡(luò)安全加固1212\o"CurrentDocument"高等級弱點(diǎn)1212\o"CurrentDocument"中等級弱點(diǎn)1313\o"CurrentDocument"低等級弱點(diǎn)1414\o"CurrentDocument"XX統(tǒng)一視頻監(jiān)視平臺安全加固操作1515Windows主機(jī)1515Oracle數(shù)據(jù)庫1919\o"CurrentDocument"輸XX設(shè)備狀態(tài)在線監(jiān)測系統(tǒng)安全加固操作21214.3.1.AIX主機(jī)2121Linux主機(jī)錯誤!未定義書簽。錯誤!未定義書簽。Windows主機(jī)錯誤!未定義書簽。錯誤!未定義書簽。Oracle數(shù)據(jù)庫錯誤!未定義書簽。錯誤!未定義書簽。用XX信息采集系統(tǒng)安全加固操作錯誤!未定義書簽。錯誤!未定義書;AIX主機(jī)錯誤!未定義書簽。錯誤!未定義書簽。Linux主機(jī)錯誤!未定義書簽。錯誤!未定義書簽。Windows主機(jī)錯誤!未定義書簽。錯誤!未定義書簽。Oracle數(shù)據(jù)庫錯誤!未定義書簽。錯誤!未定義書簽。95598XX互動XX安全加固操作錯誤!未定義書簽。錯誤!未定義書簽。Linux主機(jī)錯誤!未定義書簽。錯誤!未定義書簽。Oracle數(shù)據(jù)庫錯誤!未定義書簽。錯誤!未定義書簽。XXXX平臺安全加固操作...錯誤!未定義書簽。錯誤!未定義書簽。4.6.1.Linux主機(jī)錯誤!未定義書簽。錯誤!未定義書簽。

文檔信息表文檔基本信息項目名稱xxxxxx文檔名稱安全加固方案文檔版本是否為正式交付件是文檔創(chuàng)建日期當(dāng)前修訂日期文檔審批信息審閱人職務(wù)審閱時間審閱意見文檔修訂信息版本修正章節(jié)日期作者變更記錄第1章概述工作目的在前期安全評估過程中，發(fā)現(xiàn)xxxx主機(jī)系統(tǒng)，包括業(yè)務(wù)主機(jī)、數(shù)據(jù)庫、中間件的多處安全弱點(diǎn)，為降低這些弱點(diǎn)所帶來的安全風(fēng)險，需要針對上述設(shè)備進(jìn)行相應(yīng)的安全加固工作，修復(fù)已發(fā)現(xiàn)的安全弱點(diǎn)，進(jìn)一步提高xxxx的整體安全性。為確保安全加固工作能夠順利進(jìn)行并達(dá)到目標(biāo)，特制定本安全加固方案以指導(dǎo)該項工作。加固方法為驗證和完善主機(jī)系統(tǒng)安全加固方案中的內(nèi)容，盡早規(guī)避加固工作中存在的風(fēng)險，最終保證xxxx系統(tǒng)業(yè)務(wù)主機(jī)順利完成加固。將首先選取xxxx系統(tǒng)測試機(jī)進(jìn)行安全加固，待加固完成并通過觀察確認(rèn)無影響后再進(jìn)行xxxx系統(tǒng)業(yè)務(wù)主機(jī)的加固工作。安全加固工作將由xxxx（甲方）提供加固操作步驟，由xxxx（甲方）根據(jù)加固操作步驟對確認(rèn)后的加固項進(jìn)行逐項設(shè)置。若涉及操作系統(tǒng)、數(shù)據(jù)庫、中間件補(bǔ)丁的升級，軟件版本的升級，需由xxxx（甲方）協(xié)調(diào)相關(guān)設(shè)備售后服務(wù)合同方人員進(jìn)行。加固過程中xxxx（甲方）負(fù)責(zé)現(xiàn)場指導(dǎo)。風(fēng)險的應(yīng)對措施■為防止在加固過程中出現(xiàn)的異常狀況，所有被加固系統(tǒng)均應(yīng)在加固操作開始前進(jìn)行完整的數(shù)據(jù)備份。安全加固時間應(yīng)盡量選擇業(yè)務(wù)可中止的時段。加固過程中，涉及修改文件等內(nèi)容時，將備份源文件在同級目錄中，以便回退操作。■安全加固完成后，需重啟主機(jī)進(jìn)行，因此需要xxxx（甲方）提前申請業(yè)務(wù)停機(jī)時間并進(jìn)行相應(yīng)的人員安排。在加固完成后，如果出現(xiàn)被加固系統(tǒng)無法正常工作，應(yīng)立即恢復(fù)所做各項配置變更，待業(yè)務(wù)應(yīng)用正常運(yùn)行后，再行協(xié)商后續(xù)加固工作的進(jìn)行方式。

圖1-1安全加固步驟主機(jī)加固對Windows、HP-UX、AIX、Linux等操作系統(tǒng)和Oracle數(shù)據(jù)庫進(jìn)行加固。序號加固項加固內(nèi)容1帳號權(quán)限加固對操作系統(tǒng)用戶、用戶組進(jìn)行權(quán)限設(shè)置，應(yīng)用系統(tǒng)用戶和系統(tǒng)普通用戶權(quán)限的定義遵循最小權(quán)限原則。刪除系統(tǒng)多余用戶，設(shè)置應(yīng)用系統(tǒng)用戶的權(quán)限只能做與應(yīng)用系統(tǒng)相關(guān)的操作；設(shè)置普通系統(tǒng)用戶的權(quán)限為只能執(zhí)行系統(tǒng)日常維護(hù)的必要操作2網(wǎng)絡(luò)服務(wù)加固關(guān)閉系統(tǒng)中不安全的服務(wù)，確保操作系統(tǒng)只開啟承載業(yè)務(wù)所必需的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)端口3訪問控制加固合理設(shè)置系統(tǒng)中重要文件的訪問權(quán)限只授予必要的用戶必要的訪問權(quán)限。限制特權(quán)用戶在控制臺登錄，遠(yuǎn)程控制有安全機(jī)制保證，限制能夠訪問本機(jī)的用戶和IP地址4口令策略加固對操作系統(tǒng)設(shè)置口令策略，設(shè)置口令復(fù)雜性要求，為所有用戶設(shè)置強(qiáng)壯的口令，禁止系統(tǒng)偽帳號的登錄5用戶鑒別加固設(shè)置操作系統(tǒng)用戶不成功的鑒別失敗次數(shù)以及達(dá)到此閥值所采取的措施，設(shè)置操作系統(tǒng)用戶交互登錄失敗、管理控制臺自鎖，設(shè)置系統(tǒng)超時自動注銷功能6審計策略加固配置操作系統(tǒng)的安全審計功能，使系統(tǒng)對用戶登錄、系統(tǒng)管理行為、入侵攻擊行為等重要事件進(jìn)行申計，確保每個申計記錄中記錄事件的日期和時間、事件類型、主體身份、事件的結(jié)果（成功或失敗），對審計產(chǎn)生的數(shù)據(jù)分配空間存儲，并制定和實施必要的備份、清理措施，設(shè)置審計存儲超出限制時的覆蓋或轉(zhuǎn)儲方式，防止審計數(shù)據(jù)被非法刪除、修改網(wǎng)絡(luò)加固對寧夏XX力公司XXXX五個應(yīng)用系統(tǒng)的內(nèi)網(wǎng)出口交換機(jī)、核心交換機(jī)、核心路由器、綜合區(qū)匯聚交換機(jī)、辦公區(qū)匯聚交換機(jī)、DMZ區(qū)交換機(jī)以及各接入交換機(jī)進(jìn)加固。序號加固項加固內(nèi)容1帳號權(quán)限加固對交換機(jī)遠(yuǎn)程訪問用戶進(jìn)行權(quán)限設(shè)置，對管理員用戶和審計用戶權(quán)限的定義遵循最小權(quán)限原則；設(shè)置管理員用戶對設(shè)備進(jìn)行配置修改，審計用戶2網(wǎng)絡(luò)服務(wù)加固關(guān)閉交換機(jī)中不安全的服務(wù)，確保操作系統(tǒng)只開啟承載業(yè)務(wù)所必需的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)端口3訪問控制加固限制用戶對網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程登錄IP地址和超時設(shè)置；加強(qiáng)遠(yuǎn)程控制安全機(jī)制的保證，如配置SSH4口令策略加固對網(wǎng)絡(luò)設(shè)備的口令進(jìn)行加固，確保符合口令復(fù)雜度要求5用戶鑒別加固設(shè)置設(shè)備登錄不成功的鑒別失敗次數(shù)以及達(dá)到此閥值所采取的措施6審計策略加固配置交換機(jī)的安全審計功能，日志關(guān)聯(lián)審計服務(wù)器中7關(guān)鍵服務(wù)器訪控、接配置交換機(jī)的IP-MAC綁定策略，關(guān)閉交換機(jī)空閑端口，

入策略加固增強(qiáng)服務(wù)器接入策略未加固項說明>各接入交換機(jī)的IOS版本不具備端口與MAC綁定功能。入策略加固增強(qiáng)服務(wù)器接入策略Windows主機(jī)系統(tǒng)中未關(guān)閉遠(yuǎn)程桌面，考慮到帶外管理區(qū)未建立，暫時未關(guān)閉。Windows主機(jī)系統(tǒng)中未修改匿名空連接，由于涉及業(yè)務(wù)應(yīng)用正常運(yùn)行，暫時未關(guān)閉。Windows主機(jī)系統(tǒng)中未更新補(bǔ)丁，由于操作系統(tǒng)版本較低，且補(bǔ)丁升級服務(wù)器未部署，故暫未進(jìn)行升級。AIX、HP和Linux主機(jī)中未關(guān)閉FTP，由于現(xiàn)處于數(shù)據(jù)驗證階段，F(xiàn)TP做為驗證方式之一，暫未關(guān)閉。Oracle數(shù)據(jù)庫中未開啟日志審計功能，考慮到開啟此功能，勢必影響數(shù)據(jù)庫的性能。Oracle數(shù)據(jù)庫中未更新補(bǔ)丁，由于數(shù)據(jù)庫版本較低，且補(bǔ)丁升級風(fēng)險較大，故暫未進(jìn)行升級。>各設(shè)備和系統(tǒng)中未加固項具體情況及原因詳見加固列表。

主機(jī)加固列表序號操作系統(tǒng)名稱加固項弱點(diǎn)等級1WindowsWindows服務(wù)器服務(wù)漏洞(MS08-067)高2刪除服務(wù)器上的管理員共享中3禁止在任何驅(qū)動器上自動運(yùn)行任何程序中4禁用無關(guān)的windows服務(wù)中5設(shè)置密碼策略中6設(shè)置審計和賬號策略中7禁止CD自動運(yùn)行低8設(shè)置交互式登錄：不顯示上次用戶名低9設(shè)置關(guān)機(jī)：清除虛擬內(nèi)存頁面文件低10AIX限制root用戶遠(yuǎn)程登錄中11禁用ntalk/cmsd服務(wù)中12禁用或刪除不必要的帳號中13限制ftp服務(wù)的使用中14設(shè)置登陸策略低15設(shè)置密碼策略低XX禁用Time\DayTime服務(wù)低17設(shè)置系統(tǒng)口令策略中18Linux限制能su為root的用戶中19禁止root用戶遠(yuǎn)程登錄中20限定信任主機(jī)中21限制Alt+Ctrl+Del命令低數(shù)據(jù)庫加固列表序號H3C加固項弱點(diǎn)等級序號H3C加固項弱點(diǎn)等級1配置默認(rèn)級別賬戶高2開啟密碼加密保存服務(wù)中3配置失敗登陸退出機(jī)制中4部署日志服務(wù)器低網(wǎng)絡(luò)安全加高等級弱點(diǎn)配置默認(rèn)級別賬戶漏洞名稱配置默認(rèn)級別賬戶漏洞描述一旦網(wǎng)路設(shè)備密碼被攻破，直接提取網(wǎng)絡(luò)設(shè)備的特權(quán)賬戶權(quán)限，將嚴(yán)重影響設(shè)備的安全性。發(fā)現(xiàn)方式人工評估風(fēng)險等級高影響范圍加固建議和步驟首先備份設(shè)備配置；交換機(jī)命令級別共分為訪問、XX、系統(tǒng)、管理4個級別，分別對應(yīng)標(biāo)識0、1、2、3。配置登錄默認(rèn)級別為訪問級（0-VISIT）user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxx加固風(fēng)險無回退建議根據(jù)原設(shè)備口令進(jìn)行還原即可。

漏洞名稱未開啟密碼加密保存服務(wù)漏洞描述明文密碼容易被外部惡意人員獲取，影響設(shè)備的安全。發(fā)現(xiàn)方式人工評估風(fēng)險等級中影響范圍加固建議和步驟首先備份設(shè)備配置；更改配置:user-interfaceaux08userprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04userprivilegelevel0setauthenticationpasswordcipherxxxsuperpasswordlevel1cipherpassword1superpasswordlevel2cipherpassword2superpasswordlevel3cipherpasswords加固風(fēng)險無回退建議更改配置：Noservicepassword-encryptioncopyrunsave建議加固時間無加固時間限制建議加固時間建議加固時間無加固時間限制中等級弱點(diǎn)未開啟密碼加密保存服務(wù).未配置失敗登錄退出機(jī)制漏洞名稱未配置失敗登錄退出機(jī)制漏洞名稱未配置失敗登錄退出機(jī)制漏洞描述缺少該配置可能導(dǎo)致惡意攻擊者進(jìn)行口令暴力。發(fā)現(xiàn)方式人工評估風(fēng)險等級中影響范圍加固建議和步驟首先備份設(shè)備配置；更改配置，請廠家進(jìn)行配置加固風(fēng)險無回退建議清除原配置即可建議加固時間無加固時間限制低等級弱點(diǎn)缺少日志審計服務(wù)漏洞名稱缺少日志審計服務(wù)漏洞描述目前寧夏XX力公司網(wǎng)絡(luò)內(nèi)部缺少集中的安全XX審計措施，對于系統(tǒng)可能發(fā)生的安全問題不能有效的預(yù)警，不利于對安全事件的審計和分析。發(fā)現(xiàn)方式人工評估風(fēng)險等級低影響范圍加固建議和步驟首先部署日志服務(wù)器；備份設(shè)備配置；更改配置：檢查配置文件中存在如下配置項：（在系統(tǒng)模式下進(jìn)行操作）

[h3c]info-centerenable[h3c]info-centerloghostxxxxxchannelloghost參考檢測操作:displaycurrent-configuration加固風(fēng)險低回退建議還原備份配置即可建議加固時無加固時間限制XX統(tǒng)一視頻監(jiān)視平臺安全加固操作4.2.1.Windows主機(jī).高等級弱點(diǎn)WINDOWS服務(wù)器服務(wù)漏洞(MS08-067)加固項WINDOWS服務(wù)器服務(wù)漏洞(MS08-067)描述WINDOWS系統(tǒng)上的服務(wù)器服務(wù)中存在一個遠(yuǎn)程執(zhí)行代碼漏洞。該漏洞是由于服務(wù)不正確地處理特制的RPC請求導(dǎo)致的。成功利用此漏洞的攻擊者可以完全控制受影響的系統(tǒng)。加固風(fēng)險可能會影響業(yè)務(wù)系統(tǒng)的應(yīng)用。弱點(diǎn)嚴(yán)重程度賦值高加固操作更新補(bǔ)丁包：WindowsServer2003SP1:WindowsServer2003SP2:/downloads/details.aspx?displaylang=zh-cn&FamilyID=F26D395D-2459-4E40-8C92-3DE1C52C390D加固主機(jī)IP10.XX.5.11、10.XX.5.12

.中等級弱點(diǎn)刪除服務(wù)器上的管理員共享加固項刪除服務(wù)器上的管理員共享描述Windows機(jī)器在安裝后都缺省存在”管理員共享”，它們被限制只允許管理員使用，但是它們會在網(wǎng)絡(luò)上以Admin$、c$、IPC$等來暴露每個卷的根目錄和%systemroot%目錄加固風(fēng)險不能使用默認(rèn)共享弱點(diǎn)嚴(yán)重程度賦值中加固操作刪除服務(wù)器上的管理員共享修改注冊表運(yùn)行-regeditserver版：找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的鍵值改為：00000000。professional版：找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的鍵值改為：00000000。如果上面所述的主鍵不存在，就新建（右擊-新建-雙字節(jié)值）一個主健再改鍵值。加固主機(jī)IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX禁止在任何驅(qū)動器上自動運(yùn)行任何程序加固項禁止在任何驅(qū)動器上自動運(yùn)行任何程序描述防止惡意代碼或特洛伊木馬自動運(yùn)行加固風(fēng)險無弱點(diǎn)嚴(yán)重程度賦值中加固操作gpedit.msc用戶配置->管理模板->系統(tǒng)->關(guān)閉自動播放或者設(shè)置HKEY_LOCAL_MACHINE\Software\

Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255(十六進(jìn)制FF)加固主機(jī)IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX禁用無關(guān)的windows服務(wù)加固項禁用無關(guān)的windows服務(wù)描述系統(tǒng)中某些服務(wù)存在漏洞，如ComputerBrowser服務(wù)禁用可防止用戶通過網(wǎng)上鄰居來發(fā)現(xiàn)他不知道確切名字的共享資源，或不通過任何授權(quán)瀏覽這些資源。加固風(fēng)險可能影響某些服務(wù)的正常運(yùn)行弱點(diǎn)嚴(yán)重程度賦值中加固操作到windows服務(wù)項中services.msc，禁用ComputerBrowser、RemoteRegistry服務(wù)加固主機(jī)IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX設(shè)置密碼策略加固項設(shè)置密碼策略描述設(shè)置密碼的最短長度以及密碼復(fù)雜度可以抵御基于密碼的攻擊，更好的保護(hù)帳號的安全。加固風(fēng)險啟用密碼復(fù)雜度要求后，未滿足要求的賬戶可能會受到影響弱點(diǎn)嚴(yán)重程度賦值中加固操作gpedit.msc進(jìn)入“計算機(jī)設(shè)置”->“Windows設(shè)置”->“安全設(shè)置”->“帳戶策略”->“密碼策略”。設(shè)置如下內(nèi)容“密碼策略：密碼必須符合復(fù)雜性要求（啟用）密碼策略：密碼長度最小值（8）密碼策略：密碼最長使用期限（90天）密碼策略：密碼最短使用期限（1天）

密碼策略：強(qiáng)制密碼歷史（二＞5）加固主機(jī)IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX設(shè)置審計和賬號策略加固項設(shè)置審計和賬號策略描述系統(tǒng)針對帳號的管理，以及目錄服務(wù)訪問，對象訪問，策略更改，特權(quán)使用，進(jìn)程跟蹤，系統(tǒng)事件的審計未做設(shè)置加固風(fēng)險開啟審g略后，系統(tǒng)日志會增多，需要實時檢查磁盤空間弱點(diǎn)嚴(yán)重程度賦值中加固操作設(shè)置審核策略以及帳號策略帳戶鎖定策略：帳戶鎖定時間（15分鐘）加固項設(shè)置審計和賬號策略描述系統(tǒng)針對帳號的管理，以及目錄服務(wù)訪問，對象訪問，策略更改，特權(quán)使用，進(jìn)程跟蹤，系統(tǒng)事件的審計未做設(shè)置加固風(fēng)險開啟審g略后，系統(tǒng)日志會增多，需要實時檢查磁盤空間弱點(diǎn)嚴(yán)重程度賦值中加固操作設(shè)置審核策略以及帳號策略帳戶鎖定策略：帳戶鎖定時間（15分鐘）帳戶鎖定策略：帳戶鎖定閥值（3次無效登錄）審核策略：審核策略更改（成功和失?。徍瞬呗裕簩徍说卿浭录ǔ晒褪。徍瞬呗裕簩徍藢ο笤L問（失敗）審核策略：審核特權(quán)使用（失?。徍瞬呗裕簩徍讼到y(tǒng)事件（成功和失?。徍瞬呗裕簩徍藥舻卿浭录ǔ晒褪。徍瞬呗裕簩徍藥艄芾恚ǔ晒褪。┘庸讨鳈C(jī)IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX.低等級弱點(diǎn)加固項禁止CD自動運(yùn)行描述可防止由于自動運(yùn)行CD帶來的安全風(fēng)險，如病毒自動安裝等。加固風(fēng)險CD將不能自動運(yùn)行弱點(diǎn)嚴(yán)重程度賦值低加固操作修改注冊表以下鍵值：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)0加固主機(jī)IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX設(shè)置交互式登錄：不顯示上次用戶名加固項設(shè)置交互式登錄：不顯示上次用戶名描述避免泄露用戶名的信息加固風(fēng)險在交互登錄的過程中，不再顯示上次登錄的用戶名弱點(diǎn)嚴(yán)重程度賦值低加固操作修改系統(tǒng)安全選項中的設(shè)置，啟用該項。加固主機(jī)IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX設(shè)置關(guān)機(jī)：清除虛擬內(nèi)存頁面文件加固項設(shè)置關(guān)機(jī)：清除虛擬內(nèi)存頁面文件描述避免內(nèi)存頁面保存敏感的數(shù)據(jù)信息加固風(fēng)險無弱點(diǎn)嚴(yán)重程度賦值低加固操作修改系統(tǒng)安全選項中的設(shè)置，啟用“關(guān)機(jī)：清除虛擬內(nèi)存頁面文件”加固主機(jī)IP4.2.2.O:10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XXracle數(shù)據(jù)庫高等級弱點(diǎn)無。中等級弱點(diǎn)修改數(shù)據(jù)庫弱口令賬戶加固項修改數(shù)據(jù)庫弱口令賬戶

描述數(shù)據(jù)庫存在SCOTT默認(rèn)口令TIGER，易被利用；加固風(fēng)險無弱點(diǎn)嚴(yán)重程度賦值中加固操作修改弱口令賬戶的口令為滿足復(fù)雜度要求的口令或者對不使用的帳號進(jìn)行鎖定alteruserUSER_NAMEidentifiedbynewpassword;加固主機(jī)IP10.XX.5.12限制客戶端連接IP加固項限制客戶端連接IP描述與數(shù)據(jù)庫服務(wù)器同一網(wǎng)段的IP可連接數(shù)據(jù)庫，降低了數(shù)據(jù)庫的安全性。加固風(fēng)險未授權(quán)的客戶端將不能連接數(shù)據(jù)庫服務(wù)器弱點(diǎn)嚴(yán)重程度賦值中加固操作加固風(fēng)險規(guī)避的方法：備份原配置文件sqlnet.ora具體加固方法：在sqlnet.ora中增加：tcp.validnode_checking=yes#允許訪問的IPtcp.invited_nodes=(ip1,ip2,¡­¡­)#不允許訪問的IPtcp.excluded_nodes=(ip1,ip2,¡­¡­)或者通過防火墻進(jìn)行設(shè)置。加固主機(jī)IP10.2XX.33.244設(shè)置oracle密碼策略加固項設(shè)置oracle密碼策略描述Oracle數(shù)據(jù)庫用戶的密碼策略未配置，使數(shù)據(jù)庫用戶及口令可能存在弱點(diǎn)，同時也可能受到非法者利」用。設(shè)定密碼策略也可對失敗登陸次數(shù)和賬戶鎖定時間進(jìn)行設(shè)置。加固風(fēng)險未滿足密碼策略要求的賬戶可能會收到影響弱點(diǎn)嚴(yán)重程度賦值中加固操作建立用戶配置文件profile，并指定給相關(guān)用戶。1、設(shè)置資源限制時，設(shè)置數(shù)據(jù)庫系統(tǒng)啟動參數(shù)RESOURCE_LIMIT為true；altersystemsetRESOURCE_LIMIT=true;2、創(chuàng)建profile文件：createprofile文件名limit參數(shù)value;可設(shè)置的參數(shù)如下FAILED_LOGIN_ATTEMPTS:指定鎖定用戶的登錄失敗次數(shù)PASSWORD_LOCK_TIME:指定用戶被鎖定天數(shù)PASSWORD_LIFE_TIME:指定口令可用天數(shù)PASSWORD_REUSE_TIME:指定在多長時間內(nèi)口令不能重用PASSWORD_REUSE_MAX:指定在重用口令前口令需要改變的次數(shù)PASSWORD_VERIFY_FUNCTION：口令效驗函數(shù)2、更改用戶prof