Oracle安全配置基線1

第頁Oracle數(shù)據(jù)庫系統(tǒng)平安配置基線中國移動通信管理信息系統(tǒng)部2021年4月版本版本控制信息更新日期更新人審批人創(chuàng)立2021年1月V更新2021年4月備注：假設(shè)此文檔需要日后更新，請創(chuàng)立人填寫版本控制表格，否那么刪除版本控制表格。

目錄第1章 概述 4 目的 4 適用范圍 4 適用版本 4 實(shí)施 4 例外條款 4第2章 帳號 5 帳號平安 5 刪除不必要帳號* 5 限制超級管理員遠(yuǎn)程登錄* 5 用戶屬性控制 6 數(shù)據(jù)字典訪問權(quán)限 6 TNS登錄IP限制* 7第3章 口令 8 口令平安 8 帳號口令的生存期 8 重復(fù)口令使用 8 認(rèn)證控制* 9 更改默認(rèn)帳號密碼 9 密碼更改策略 10 密碼復(fù)雜度策略 10第4章 日志 12 日志審計 12 數(shù)據(jù)庫審計謀略* 12第5章 其他 13 其他配置 13 設(shè)置監(jiān)聽器密碼 13 加密數(shù)據(jù)* 13第6章 評審與修訂 14概述目的本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護(hù)管理的ORACLE數(shù)據(jù)庫系統(tǒng)應(yīng)當(dāng)遵循的數(shù)據(jù)庫平安性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)數(shù)據(jù)庫管理人員進(jìn)展ORACLE數(shù)據(jù)庫系統(tǒng)的平安配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：數(shù)據(jù)庫管理員、應(yīng)用管理員、網(wǎng)絡(luò)平安管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動總部和各省公司信息化部門維護(hù)管理的ORACLE數(shù)據(jù)庫系統(tǒng)。適用版本ORACLE數(shù)據(jù)庫系統(tǒng)。實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中假設(shè)有任何疑問或建議，應(yīng)及時反應(yīng)。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信管理信息系統(tǒng)部進(jìn)展審批備案。帳號帳號平安刪除不必要帳號*平安基線工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle刪除不必要帳號平安基線要求項(xiàng)平安基線編號SBL-Oracle-02-01-01平安基線項(xiàng)說明應(yīng)刪除或鎖定與數(shù)據(jù)庫運(yùn)行、維護(hù)等工作無關(guān)的帳號。檢測操作步驟首先鎖定不需要的用戶在經(jīng)過一段時間后，確認(rèn)該用戶對業(yè)務(wù)確無影響的情況下，可以刪除基線符合性判定依據(jù)結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的帳號。備注手工判斷限制超級管理員遠(yuǎn)程登錄*平安基線工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle遠(yuǎn)程登錄平安基線要求項(xiàng)平安基線編號SBL-Oracle-02-01-02平安基線項(xiàng)說明限制具備數(shù)據(jù)庫超級管理員〔SYSDBA〕權(quán)限的用戶遠(yuǎn)程登錄。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。3.使用showparameter命令來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE設(shè)置。ShowparameterREMOTE_LOGIN_PASSWORDFILE?；€符合性判定依據(jù)參數(shù)REMOTE_LOGIN_PASSWORDFILE設(shè)置為NONE;〔限制遠(yuǎn)程登錄〕sqlnet.ora文件中參數(shù)SQLNET.AUTHENTICATION_SERVICES設(shè)置成NONE;〔限制本地帳號權(quán)限登錄〕備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，那么強(qiáng)制要求此項(xiàng)。例外情況：假設(shè)存在rman備份，有從遠(yuǎn)程發(fā)起的備份，比方：connectsys/***@crmdb11assysdba需重點(diǎn)確認(rèn)是否有影響。用戶屬性控制平安基線工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle用戶屬性控制策略平安基線要求項(xiàng)平安基線編號SBL-Oracle-02-01-03平安基線項(xiàng)說明對用戶的屬性進(jìn)展控制，主要為密碼策略。檢測操作步驟1.以DBA用戶登陸到sqlplus中。2.查詢視圖dba_profiles和dba_usres來檢查profile是否創(chuàng)立?；€符合性判定依據(jù)帳號口令的復(fù)雜程度，口令生存周期和帳號的鎖定方式等。備注數(shù)據(jù)字典訪問權(quán)限平安基線工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle數(shù)據(jù)字典訪問權(quán)限策略平安基線要求項(xiàng)平安基線編號SBL-Oracle-02-01-04平安基線項(xiàng)說明啟用數(shù)據(jù)字典保護(hù)，只有SYSDBA權(quán)限用戶才能訪問數(shù)據(jù)字典根底表。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。3.使用showparameter命令來檢查參數(shù)O7_DICTIONARY_ACCESSIBILITY基線符合性判定依據(jù)參數(shù)O7_DICTIONARY_ACCESSIBILITY是否設(shè)置為FALSE備注TNS登錄IP限制*平安基線工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle數(shù)據(jù)字典訪問權(quán)限策略平安基線要求項(xiàng)平安基線編號SBL-Oracle-02-01-05平安基線項(xiàng)說明通過數(shù)據(jù)庫所在操作系統(tǒng)或防火墻限制，只有信任的IP地址才能通過監(jiān)聽器訪問數(shù)據(jù)庫。檢測操作步驟1.參考配置操作只需在效勞器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中設(shè)置以下行：tcp.validnode_checking=yestcp.invited_nodes=(ip1,ip2…)2、補(bǔ)充操作說明如果網(wǎng)絡(luò)層已經(jīng)做過訪問控制，該項(xiàng)為可選項(xiàng)，否那么為必選項(xiàng)可信內(nèi)網(wǎng)地址指：專用維護(hù)終端、訪問數(shù)據(jù)庫應(yīng)用效勞器、堡壘機(jī)，其他地址段制止?；€符合性判定依據(jù)1、判定條件在非信任的客戶端以數(shù)據(jù)庫帳號登陸被提示拒絕。2、檢測操作檢查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否設(shè)置參數(shù)tcp.validnode_checking和。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，那么強(qiáng)制要求此項(xiàng)?？诹羁诹钇桨矌ぬ柨诹畹纳嫫谄桨不€工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle帳號口令生存期平安基線要求項(xiàng)平安基線編號SBL-Oracle-03平安基線項(xiàng)說明對于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫，帳號口令的生存期不長于90天。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。3、執(zhí)行selectlimitfromdba_profileswhereresource_name='PASSWORD_LIFE_TIME'andpro(selectprodba_userswhereaccount_status='OPEN'基線符合性判定依據(jù)查詢結(jié)果中PASSWORD_LIFE_TIME小于等于90。備注重復(fù)口令使用平安基線工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle重復(fù)口令的使用策略平安基線要求項(xiàng)平安基線編號SBL-Oracle-03平安基線項(xiàng)說明對于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫，應(yīng)配置數(shù)據(jù)庫，使用戶不能重復(fù)使用最近5次〔含5次〕內(nèi)已使用的口令。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。3.執(zhí)行selectresource_name,limitfromdba_profiles,dba_userswheredba_pro=dba_dba_users.account_status='OPEN'andresource_name='PASSWORD_REUSE_MAX';基線符合性判定依據(jù)查詢結(jié)果中PASSWORD_REUSE_MAX大于等于5。備注認(rèn)證控制*平安基線工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle認(rèn)證控制策略平安基線要求項(xiàng)平安基線編號SBL-Oracle-03平安基線項(xiàng)說明對于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過10次，鎖定該用戶使用的帳號。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。3.執(zhí)行selectresource_name,limitfromdba_profiles,dba_userswheredba_pro=dba_dba_users.account_status='OPEN'andresource_name='FAILED_LOGIN_ATTEMPTS';基線符合性判定依據(jù)查詢結(jié)果中FAILED_LOGIN_ATTEMPTS等于10。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，那么強(qiáng)制要求此項(xiàng)。對核心庫、生產(chǎn)用戶不能設(shè)置此基線。誤操作或惡意超過10次，導(dǎo)致用戶鎖定，有一定風(fēng)險，可能會導(dǎo)致應(yīng)用異常更改默認(rèn)帳號密碼平安基線工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle默認(rèn)帳號口令策略平安基線要求項(xiàng)平安基線編號SBL-Oracle-03平安基線項(xiàng)說明更改數(shù)據(jù)庫默認(rèn)帳號的密碼。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中。2.以system/system、system/manager、sys/sys、sys/cHAnge_on_install、scott/scott、scott/tiger、dbsnmp/dbsnmp、rman/rman、xdb/xdb登陸sqlplus環(huán)境。基線符合性判定依據(jù)上述帳號口令均不能成功登錄。備注密碼更改策略平安基線工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle密碼更改策略平安基線要求項(xiàng)平安基線編號SBL-Oracle-03平安基線項(xiàng)說明設(shè)置帳號寬限期檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。3.執(zhí)行selectresource_name,limitfromdba_profiles,dba_userswheredba_pro=dba_dba_users.account_status='OPEN'andresource_name='PASSWORD_GRACE_TIME'基線符合性判定依據(jù)查詢結(jié)果中PASSWORD_GRACE_TIME小于等于7。備注密碼過期后7天內(nèi)不修改密碼，密碼將失效密碼復(fù)雜度策略平安基線工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle密碼復(fù)雜度策略平安基線要求項(xiàng)平安基線編號SBL-Oracle-03-01-06平安基線項(xiàng)說明對于采用靜態(tài)口令進(jìn)展認(rèn)證的數(shù)據(jù)庫，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置一樣的口令。密碼應(yīng)至少每90天進(jìn)展更換。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。3、執(zhí)行selectlimitfromdba_profileswhereresource_name='PASSWORD_VERIFY_FUNCTION'andpro(selectprodba_userswhereaccount_status='OPEN'基線符合性判定依據(jù)為用戶建profile，調(diào)整PASSWORD_VERIFY_FUNCTION，指定密碼復(fù)雜度備注日志日志審計數(shù)據(jù)庫審計謀略*平安基線工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle數(shù)據(jù)審計謀略平安基線要求項(xiàng)平安基線編號SBL-Oracle-04平安基線項(xiàng)說明根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計謀略。對用戶登錄進(jìn)展記錄，記錄內(nèi)容包括用戶登錄使用的帳號、登錄是否成功、登錄時間以及遠(yuǎn)程登錄時用戶使用的IP地址；用戶對數(shù)據(jù)庫的操作，包括但不限于以下內(nèi)容：帳號創(chuàng)立、刪除和權(quán)限修改、口令修改、讀取和修改數(shù)據(jù)庫配置、讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶帳號，操作時間，操作內(nèi)容以及操作結(jié)果；記錄對與數(shù)據(jù)庫相關(guān)的平安事件。檢測操作步驟1.以O(shè)racle用戶登陸到系統(tǒng)中。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。3.使用showparameter命令來檢查參數(shù)audit_trail是否設(shè)置。4.檢查dba_audit_trail視圖中或$ORACLE_BASE/admin/adump目錄下是否有數(shù)據(jù)?；€符合性判定依據(jù)參數(shù)audit_trail不能設(shè)置為NONE。需設(shè)置具體的審計內(nèi)容。可以設(shè)置數(shù)據(jù)庫參數(shù)audit_sys_operations=true來審計所有SYS用戶的操作。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，那么強(qiáng)制要求此項(xiàng)。通過外圍審計實(shí)現(xiàn).數(shù)據(jù)庫開啟該項(xiàng)參數(shù)后，對數(shù)據(jù)庫性能影響較大。在以往的基線推廣中，因數(shù)據(jù)庫審計基線對業(yè)務(wù)系統(tǒng)影響較大，很難落地實(shí)施。其他其他配置設(shè)置監(jiān)聽器密碼平安基線工程名稱數(shù)據(jù)庫管理系統(tǒng)Oracle監(jiān)聽器平安基線要求項(xiàng)平安基線編號SBL-Oracle-05平安基線項(xiàng)說明為數(shù)據(jù)庫監(jiān)聽器〔LISTENER〕的關(guān)閉和啟動設(shè)置密碼。檢測操作步驟檢查$ORACLE_HOME/network/admin/listener.ora文件中是否設(shè)置參數(shù)PASSWORDS_LISTENER?；€符合性判定依據(jù)要求正確設(shè)置參數(shù)PASSWORDS_LIST