某Oracle數(shù)據(jù)庫安全加固方案總結(jié)

1————————————————企業(yè)標準2010-*-*發(fā)布2010-*-*實施————————————————————————————————————公司發(fā)布為規(guī)范Oracle數(shù)據(jù)庫安全加固操作，全面系統(tǒng)地降低Oracle21.適用范圍(5)2.方案實施準備(5)2.1準備工作(5)2.2危險點分析及預控措施(6)3.3.方案實施流程(7)4.方案實施程序及標準(8)5.方案實施操作記錄(15)2.1準備工作標準1核實Oracle數(shù)據(jù)庫安全加固操作申請熟悉本次方案實施的內(nèi)作碼32.2危險點分析及預控措施點防范措施3增加網(wǎng)絡(luò)訪問控制，對應(yīng)用系統(tǒng)造成影響操作前和業(yè)務(wù)部門、廠商進行確認并做好測試工作3增加網(wǎng)絡(luò)訪問控制，對應(yīng)用系統(tǒng)造成影響操作前和業(yè)務(wù)部門、廠商進行確認并做好測試工作案實施程序及標準操作方法及標準安全措施及注意事項登錄系統(tǒng)1通過管理主機登錄Oracle庫主機過ssh或vnc或RDP登錄Oracle數(shù)據(jù)庫主機，輸入用戶名密碼的2登錄Oracle數(shù)據(jù)庫43限制應(yīng)用用戶在數(shù)據(jù)庫中的權(quán)限，盡量保證最小化，避免授予了DBA權(quán)限SQL>SELECT*FROMdba_sys_privsWHEREgrantee=;--權(quán)限SQL>SELECT*FROMdba_role_privsWHEREbleFROM權(quán)限過大或4撤消public角色的程序包SQL>SELECTtable_nameFROMdba_tab_privsWHERE2.撤銷public角色的程序包執(zhí)行權(quán)限(例如撤銷在utl_file包上的執(zhí)行權(quán)限)55修改系統(tǒng)帳戶的默認口令 (特別是管理員角色類帳戶)鎖定所有不需要的用戶BY6刪除系統(tǒng)中多余的自建帳號sSQL>DROPUSERCASCADE;7為所有應(yīng)用用戶配置強口令TERUSERIDENTIFIEDBY制加固61.用操作系統(tǒng)命令查看bin1.用操作系統(tǒng)命令查看bin目錄下所有程序文件的訪問權(quán)限(以RedHatLinux為例)沒有寫1.用操作系統(tǒng)命令查看庫文件訪問權(quán)限(以RedHatLinux為例)3.Windows系統(tǒng)同理(方法不同)對部分應(yīng)用系統(tǒng)造成影響，門和系統(tǒng)廠商做好相9設(shè)置$ORACLE_HOME/bin其機制7修改權(quán)限可能對部分應(yīng)用系統(tǒng)造成影響，需要聯(lián)系業(yè)務(wù)部門和應(yīng)用系統(tǒng)廠商做好相關(guān)的測試工作10在不影響業(yè)務(wù)系統(tǒng)正常運禁用與承或組件2.用操作系統(tǒng)命令停止或禁用與業(yè)務(wù)無關(guān)的服務(wù)或組件需要和確認11刪除數(shù)據(jù)庫中存在有無用圖視圖8認12設(shè)置TNS登錄的IP限制，僅允許最少的必要的IP地址可連接TNS監(jiān)聽器列配置信息：的ipip統(tǒng)需要聯(lián)系統(tǒng)測試13關(guān)閉遠程操作系統(tǒng)認證1.在目錄ORACLEHOMEnetworkadminsqlnetora件,設(shè)置下置信息:9ticationservicesNONE2.修改參數(shù)Remote_login_passwordfile為EXCLUSIVE或SQL>ALTERSYSTEMSETREMOTE_LOGIN_PASSWORDFILE=EXCLUSIVESCOPE=SPFILE;據(jù)庫和監(jiān)聽使修改生效提14在不影響應(yīng)用的前提下，更2.停止監(jiān)聽錄 (例如把端口號改為11251)LISTENER=(DESCRIPTION_LIST=(DESCRIPTION=(ADDRESS=(PROTOCOL=ORT)))4.修改初始化參數(shù)local_listenerTEMSET5.重啟監(jiān)聽器6.修改完畢，使用新端口登錄測試p接測試統(tǒng)都有業(yè)務(wù)部15限制對監(jiān)聽器的遠程管理，1并設(shè)置監(jiān)聽器管理口令 (8i)1.進入監(jiān)聽設(shè)置狀態(tài)2.設(shè)置當前監(jiān)聽器統(tǒng)需要聯(lián)系統(tǒng)測試.保存設(shè)置16外部程序調(diào)用監(jiān)聽配置的刪除(8i)(ADDRESS_LIST=)(SID_DESC=(ORACLE_HOME=C:\oracle\ora81))會安裝 (ExtProc)條目在序默認配置的監(jiān)聽，用它，可以直項移除，因為對在不使用外部程序時，口令策略加固les的特殊字符不字符的混合，用戶名和口令禁止相同password_verify_functionverify_function;是任意特殊字符都可以，17設(shè)置口令使用期限，要求到改s18設(shè)置策略對口令嘗試次數(shù)sspasswordlocktime意訪戶就被鎖19啟用相應(yīng)的審計功能，配置安全相關(guān)操SQL>ALTERSYSTEMSETaudit_sys_operations=true;2.重啟數(shù)據(jù)庫，使設(shè)置生效若若是windows平是件中；審計業(yè)務(wù)部門20配置日志策略，確保數(shù)據(jù)庫1.配置歸檔模式庫正常關(guān)閉ALTERSYSTEMSET求非常高；需要重啟數(shù)據(jù)庫，前通知業(yè)務(wù)部門21配置日志管理策略、保證日ALTERSYSTEMSETALTERSYSTEMSETlog_archive_dest_3='service=standby'配置遠程歸檔位置時，SERVICE選項需要制定遠程數(shù)據(jù)庫的網(wǎng)絡(luò)服務(wù)名(在tnsnames.Ora文件中配置)求非常高；需要重啟數(shù)據(jù)庫，前通知業(yè)務(wù)部門加固22安裝系統(tǒng)安全補丁，對掃描統(tǒng)漏1.運行防病毒軟件(如SEP)保護操作系統(tǒng)能對統(tǒng)、應(yīng)用系影響；需要進好備后實施。退出系統(tǒng)23退出系統(tǒng)1.斷開數(shù)據(jù)庫連接操作說明操作命令備注刪除權(quán)限REVOKEselectany