Oracle數(shù)據(jù)庫安全配置基線

Oracle數(shù)據(jù)庫安全配置基線

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 1第2章 賬號 12.1 賬號安全 1 刪除不必要賬號 1 限制超級管理員遠(yuǎn)程登錄 2 用戶屬性控制 2 數(shù)據(jù)字典訪問權(quán)限 3第3章 口令 33.1 口令安全 3 賬戶口令的生存期 3 重復(fù)口令使用 4 認(rèn)證控制 4 更改默認(rèn)帳戶密碼 5 密碼更改策略 5 密碼復(fù)雜度策略 6第4章 日志 74.1 日志審計 7 數(shù)據(jù)庫審計策略 7第5章 其他 85.1 其他配置 8 設(shè)置監(jiān)聽器密碼 8 加密數(shù)據(jù) 8第6章 持續(xù)改進(jìn) 9概述目的本文規(guī)定了Oracle數(shù)據(jù)庫應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行Oracle數(shù)據(jù)庫的安全合規(guī)性檢查和配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、安全管理員和相關(guān)使用人員。本配置標(biāo)準(zhǔn)適用的范圍包括：Oracle數(shù)據(jù)庫服務(wù)器。適用版本適用于Oracle10g。賬號賬號安全刪除不必要賬號安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle刪除不必要帳號安全基線要求項安全基線項說明應(yīng)刪除或鎖定與數(shù)據(jù)庫運(yùn)行、維護(hù)等工作無關(guān)的賬號。檢測操作步驟首先鎖定不需要的用戶在經(jīng)過一段時間后，確認(rèn)該用戶對業(yè)務(wù)確無影響的情況下，可以刪除。基線符合性判定依據(jù)結(jié)合要求和實際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號。備注限制超級管理員遠(yuǎn)程登錄安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle遠(yuǎn)程登錄安全基線要求項安全基線項說明限制具備數(shù)據(jù)庫超級管理員（SYSDBA）權(quán)限的用戶遠(yuǎn)程登錄。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。3.使用showparameter命令來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE設(shè)置。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.檢查在$ORACLE_HOME/network/admin/sqlnet.ora文件中參數(shù)SQLNET.AUTHENTICATION_SERVICES設(shè)置。基線符合性判定依據(jù)參數(shù)REMOTE_LOGIN_PASSWORDFILE設(shè)置為NONE;sqlnet.ora文件中參數(shù)SQLNET.AUTHENTICATION_SERVICES設(shè)置成NONE。備注用戶屬性控制安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle用戶屬性控制策略安全基線要求項安全基線項說明對用戶的屬性進(jìn)行控制，包括密碼策略、資源限制等。檢測操作步驟1.以DBA用戶登陸到sqlplus中；2.查詢視圖dba_profiles和dba_usres來檢查profile是否創(chuàng)建。基線符合性判定依據(jù)1.可通過設(shè)置profile來限制數(shù)據(jù)庫賬戶口令的復(fù)雜程度，口令生存周期和賬戶的鎖定方式等；2.可通過設(shè)置profile來限制數(shù)據(jù)庫賬戶的CPU資源占用。備注數(shù)據(jù)字典訪問權(quán)限安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle數(shù)據(jù)字典訪問權(quán)限策略安全基線要求項安全基線項說明啟用數(shù)據(jù)字典保護(hù)，只有SYSDBA用戶才能訪問數(shù)據(jù)字典基礎(chǔ)表。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中；2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中；3.使用showparameter命令檢查參數(shù)O7_DICTIONARY_ACCESSIBILITY?；€符合性判定依據(jù)selectVALUEfromv$parameterwhereNAME='O7_DICTIONARY_ACCESSIBILITY'是否設(shè)置為FALSE備注口令口令安全賬戶口令的生存期安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle賬戶口令生存期安全基線要求項安全基線項說明在相應(yīng)應(yīng)用程序條件允許的情況下，對于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫，賬戶口令的生存期不長于90天。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中；2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中；3.執(zhí)行selectresource_name,limitfromdba_profiles,dba_userswheredba_file=dba_fileanddba_users.account_status='OPEN'andresource_name='PASSWORD_GRACE_TIME'基線符合性判定依據(jù)查詢結(jié)果中PASSWORD_GRACE_TIME小于等于90。備注重復(fù)口令使用安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle重復(fù)口令的使用策略安全基線要求項安全基線項說明對于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫，應(yīng)配置數(shù)據(jù)庫，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中；2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中；3.執(zhí)行selectresource_name,limitfromdba_profiles,dba_userswheredba_file=dba_fileanddba_users.account_status='OPEN'andresource_name='PASSWORD_REUSE_MAX'。基線符合性判定依據(jù)查詢結(jié)果中PASSWORD_REUSE_MAX大于等于5。備注認(rèn)證控制安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle認(rèn)證控制策略安全基線要求項安全基線項說明對于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中；2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中；3.執(zhí)行selectresource_name,limitfromdba_profiles,dba_userswheredba_file=dba_fileanddba_users.account_status='OPEN'andresource_name='FAILED_LOGIN_ATTEMPTS'?；€符合性判定依據(jù)查詢結(jié)果中FAILED_LOGIN_ATTEMPTS等于6。備注更改默認(rèn)帳戶密碼安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle默認(rèn)賬戶口令策略安全基線要求項安全基線項說明更改數(shù)據(jù)庫默認(rèn)帳號的密碼。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中；2.以system/system、system/manager、sys/sys、sys/cHAnge_on_install、scott/scott、scott/tiger、dbsnmp/dbsnmp、rman/rman、xdb/xdb登陸sqlplus環(huán)境?；€符合性判定依據(jù)上述賬戶口令均不能成功登錄。備注密碼更改策略安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle密碼更改策略安全基線要求項安全基線項說明Oracle軟件賬戶的訪問控制可遵循操作系統(tǒng)賬戶的安全策略，比如不要共享賬戶、強(qiáng)制定期修改密碼、密碼需要有一定的復(fù)雜度等。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中；2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中；3、執(zhí)行selectlimitfromdba_profileswhereresource_name='PASSWORD_LIFE_TIME'andprofilein(selectprofilefromdba_userswhereaccount_status='OPEN')?；€符合性判定依據(jù)查詢結(jié)果中PASSWORD_LIFE_TIME小于等于90。備注密碼復(fù)雜度策略安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle密碼復(fù)雜度策略安全基線要求項安全基線項說明對于采用靜態(tài)口令進(jìn)行認(rèn)證的數(shù)據(jù)庫，口令長度至少6位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中；2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中；3、執(zhí)行selectlimitfromdba_profileswhereresource_name='PASSWORD_VERIFY_FUNCTION'andprofilein(selectprofilefromdba_userswhereaccount_status='OPEN')?；€符合性判定依據(jù)為用戶建profile，調(diào)整PASSWORD_VERIFY_FUNCTION，指定密碼復(fù)雜度備注日志日志審計數(shù)據(jù)庫審計策略安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle數(shù)據(jù)審計策略安全基線要求項安全基線項說明根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計策略。對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠(yuǎn)程登錄時用戶使用的IP地址；用戶對數(shù)據(jù)庫的操作，包括但不限于以下內(nèi)容：賬號創(chuàng)建、刪除和權(quán)限修改、口令修改、讀取和修改數(shù)據(jù)庫配置、讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號，操作時間，操作內(nèi)容以及操作結(jié)果；記錄對與數(shù)據(jù)庫相關(guān)的安全事件。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中；2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中；3.使用showparameter命令來檢查參數(shù)audit_trail是否設(shè)置；4.檢查dba_audit_trail視圖中或$ORACLE_BASE/admin/adump目錄下是否有數(shù)據(jù)?；€符合性判定依據(jù)參數(shù)audit_trail不能設(shè)置為NONE。備注其他其他配置設(shè)置監(jiān)聽器密碼安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle監(jiān)聽器安全基線要求項安全基線項說明為數(shù)據(jù)庫監(jiān)聽器（LISTENER）的關(guān)閉和啟動設(shè)置密碼。檢測操作步驟檢查$ORACLE_HOME/network/admin/listener.ora文件中是否設(shè)置參數(shù)PASSWORDS_LISTENER?；€符合性判定依據(jù)要求正確設(shè)置參數(shù)PASSWORDS_LISTENER；使用lsnrctlstart或lsnrctlstop命令啟停listener需要密碼。備注加密數(shù)據(jù)安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle加密數(shù)據(jù)安全基線要求項安全基線項說明在相