Oracle數(shù)據(jù)庫(kù)安全配置規(guī)范

Oracle數(shù)據(jù)庫(kù)安全配置規(guī)范概述目的本規(guī)范明確了oracle數(shù)據(jù)庫(kù)安全配置方面的基本要求。為了提高oracle數(shù)據(jù)庫(kù)的安全性而提出的。范圍本規(guī)范適用于XXXXX適用的oracle數(shù)據(jù)庫(kù)版本。配置標(biāo)準(zhǔn)賬號(hào)管理及認(rèn)證授權(quán)按照用戶(hù)分配賬號(hào)[目的]應(yīng)按照用戶(hù)分配賬號(hào)，避免不同用戶(hù)共享賬號(hào)。[具體配置]createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并給role授權(quán)，把role賦給不同的用戶(hù)刪除無(wú)關(guān)賬號(hào)。[檢測(cè)操作]刪除無(wú)用賬號(hào)[目的]應(yīng)刪除或鎖定與數(shù)據(jù)庫(kù)運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。[具體配置]alteruserusernamelock;dropuserusernamecascade;[檢測(cè)操作]限制DBA遠(yuǎn)程登入[目的]限制具備數(shù)據(jù)庫(kù)超級(jí)管理員（SYSDBA）權(quán)限的用戶(hù)遠(yuǎn)程登錄。[具體配置]在spfile中設(shè)置REMOTE_LOGIN_PASSWORDFILE=NONE來(lái)禁止SYSDBA用戶(hù)從遠(yuǎn)程登陸。在sqlnet.ora中設(shè)置SQLNET.AUTHENTICATION_SERVICES=NONE來(lái)禁用SYSDBA角色的自動(dòng)登入。[檢測(cè)操作]以O(shè)racle用戶(hù)登入到系統(tǒng)中。以sqlplus‘/assysdba’登入到sqlplus環(huán)境中。使用showparameter命令來(lái)檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE是否設(shè)置為NONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE檢查在$ORACLE_HOME/network/admin/sqlnet.ora文件參數(shù)SQLNET.AUTHENTICATION_SERVICES是否被設(shè)置成NONE.最小權(quán)限[目的]在數(shù)據(jù)庫(kù)權(quán)限配置能力內(nèi)，根據(jù)用戶(hù)的業(yè)務(wù)需要，配置其所需的最小權(quán)限。[具體配置]！給用戶(hù)賦相應(yīng)的最小權(quán)限grant權(quán)限tousername;!收回用戶(hù)多余的權(quán)限r(nóng)evoke權(quán)限fromusername;[檢測(cè)操作]數(shù)據(jù)庫(kù)角色[目的]使用數(shù)據(jù)庫(kù)角色（ROLE）來(lái)管理對(duì)象的權(quán)限。[具體配置]使用CreateRole命令創(chuàng)建角色。使用Grant命令將相應(yīng)的系統(tǒng)、對(duì)象或Role的權(quán)限賦予應(yīng)用用戶(hù)。[檢測(cè)操作]以DBA用戶(hù)登入到sqlplus中。通過(guò)查詢(xún)dba_role_privs、dba_sys_privs和dba_tab_privs等視圖來(lái)檢查是否使用ROLE來(lái)管理對(duì)象權(quán)限。用戶(hù)屬性[目的]對(duì)用戶(hù)的屬性進(jìn)行控制，包括密碼策略、資源限制等。[具體配置]可通過(guò)下面類(lèi)似命令來(lái)創(chuàng)建profile，并把它賦予一個(gè)用戶(hù)CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverity_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;!可通過(guò)設(shè)置profile來(lái)限制數(shù)據(jù)庫(kù)賬戶(hù)口令的復(fù)雜程度，口令生產(chǎn)周期和賬戶(hù)的鎖定方式等。！可通過(guò)設(shè)置profile來(lái)限制數(shù)據(jù)庫(kù)賬戶(hù)的CPU資源占用。[檢測(cè)操作]數(shù)據(jù)字典保護(hù)[目的]啟用數(shù)據(jù)字典保護(hù)，只有SYSDBA用戶(hù)才能訪問(wèn)數(shù)據(jù)字典基礎(chǔ)表。[具體配置]通過(guò)設(shè)置下面初始化參數(shù)來(lái)限制只有SYSDBA權(quán)限的用戶(hù)才能訪問(wèn)數(shù)據(jù)字典。O7_DICTIONARY_ACCESSIBILITY=FALSE[檢測(cè)操作]以普通dba用戶(hù)登入到數(shù)據(jù)庫(kù)，不能查看X$開(kāi)頭的表，比如：select*fromsys,x$ksppi;1:以O(shè)racle用戶(hù)登入到系統(tǒng)中。2:以sqlplus‘／assysdba’登入到sqlplus環(huán)境中。3：使用showparameter命令來(lái)檢查參數(shù)O7_DICTIONARY_ACCESSIBILITY是否設(shè)置為FALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITYDBA組操作系統(tǒng)用戶(hù)數(shù)量[目的]限制在DBA組中的操作系統(tǒng)用戶(hù)數(shù)量，通常DBA組中只有Oracle安裝用戶(hù)。[具體配置]通過(guò)／etc／passwd文件來(lái)檢查是否有其它用戶(hù)在DBA組中。[檢測(cè)操作]無(wú)其它用戶(hù)屬于DBA組。或者通過(guò)／etc／passwd文件來(lái)檢查是否有其它用戶(hù)在DBA組中?？诹羁诹顝?fù)雜度[目的]對(duì)于采用靜態(tài)口令進(jìn)行認(rèn)證的數(shù)據(jù)庫(kù)，口令長(zhǎng)度至少6位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類(lèi)中至少2類(lèi)。[具體配置]為用戶(hù)建profile，調(diào)整PASSOWRD_VERIFY_FUNCTION,指定密碼復(fù)雜度[檢測(cè)操作]修改密碼為不符合要求的密碼，將失敗。Alteruserabcd1identifiedbyabcd1;將失敗口令期限[目的]對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫(kù)，賬戶(hù)口令的生存期不長(zhǎng)于90天。[具體配置]為用戶(hù)建相關(guān)profile，指定PASSWORD_GRACE_TIME為90天。[檢測(cè)操作]到期不修改密碼，密碼將會(huì)失敗。連接數(shù)據(jù)庫(kù)將不會(huì)成功connectusername/password報(bào)錯(cuò)口令歷史[目的]對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫(kù)，應(yīng)配置數(shù)據(jù)庫(kù)，使用戶(hù)不能重復(fù)使用最近5次（含5次）內(nèi)使用的口令。[具體配置]為用戶(hù)建profile，指定PASSWORD_REUSE_MAX為5[檢測(cè)操作]alteruserusernameidentifiedbypassword;如果password1在5次修改密碼內(nèi)被使用，改操作將不成功。失敗登錄次數(shù)[目的]對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫(kù)，應(yīng)配置當(dāng)用戶(hù)連續(xù)認(rèn)證失敗次數(shù)超過(guò)6次（不含6次），鎖定該用戶(hù)使用的賬號(hào)。[具體配置]為用戶(hù)建profile，指定FAILED_LOGIN_ATTEMPTS為6[檢測(cè)操作]connectusername/password,連續(xù)6次失敗，用戶(hù)被鎖定。連續(xù)6次用錯(cuò)誤的密碼連接用戶(hù)，第7次時(shí)用戶(hù)將被鎖定。默認(rèn)賬號(hào)的密碼[目的]更改數(shù)據(jù)庫(kù)默認(rèn)賬號(hào)的密碼。[具體配置]ALTERUSERXXXIDENTIFIEDBYXXX;下面是默認(rèn)用戶(hù)列表：ANONYMOUSCTXSYSDBSNMPDIPDMSYSEXFSYSHRLBACSYSMDDATAMDSYSMGMT_VIEWODMODM_MTROEOLAPSYSORDPLUGINSORDSYSOUTLNPMQSQS_ADMQS_CBQS_CBADMQS_CSQS_ESQS_OSQS_WSRMANSCOTTSHSI_INFORMTN_SCHEMASYSSYSMANSYSTEMTSMSYSWK_TESTWKPROXYWKSYSWMSYSXDB[檢測(cè)操作]不能以用戶(hù)名作為密碼或使用默認(rèn)密碼的賬戶(hù)登入到數(shù)據(jù)庫(kù)。或者以DBA用戶(hù)登入到sqlplus中。檢查數(shù)據(jù)庫(kù)默認(rèn)賬戶(hù)是否使用了用戶(hù)名作為密碼或默認(rèn)密碼。遵循操作系統(tǒng)賬號(hào)策略[目的]Oracle軟件賬戶(hù)的訪問(wèn)控制可遵循操作系統(tǒng)賬戶(hù)的安全策略，比如不要共享賬戶(hù)、強(qiáng)制定期修改密碼、密碼需要有一定的復(fù)雜度等。[具體配置]使用操作系統(tǒng)以及的賬戶(hù)安全管理來(lái)保護(hù)Oracle軟件賬戶(hù)。[檢測(cè)操作]每3個(gè)月自動(dòng)提示更改密碼，過(guò)期后不能登入。每3個(gè)月強(qiáng)制修改Oracle軟件賬戶(hù)密碼，并且密碼需要滿(mǎn)足一定的復(fù)雜程度，符合操作系統(tǒng)的密碼需要。日志登錄日志[目的]數(shù)據(jù)庫(kù)應(yīng)配置日志功能，對(duì)用戶(hù)登入進(jìn)行記錄，記錄內(nèi)容包括用戶(hù)登入使用的賬號(hào)、登入是否成功、登入時(shí)間以及遠(yuǎn)程登入時(shí)使用的IP地址。[具體配置]創(chuàng)建ORACLE登入觸發(fā)器，記錄相關(guān)信息，但對(duì)IP地址的記錄會(huì)有困難建表LOGON_TABLE建觸發(fā)器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT(‘USERENV’,’SESSION_USER’),SYSDATE);END;觸發(fā)器與AUDIT會(huì)有相應(yīng)資源開(kāi)消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。[檢測(cè)操作]操作日志[目的]數(shù)據(jù)庫(kù)應(yīng)該配置日志功能，記錄用戶(hù)對(duì)數(shù)據(jù)庫(kù)的操作，包括但不限于以下內(nèi)容：賬號(hào)創(chuàng)建、刪除和權(quán)限修改、口令修改、讀取和修改數(shù)據(jù)庫(kù)配置、讀取和修改業(yè)務(wù)用戶(hù)的話(huà)費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶(hù)賬號(hào)，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。[具體配置]創(chuàng)建ORACLE登入觸發(fā)器，記錄相關(guān)信息，但對(duì)IP地址的記錄會(huì)有苦難建表LOGON_TABLE建觸發(fā)器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT(‘USERENV’,’SESSIO_USER’),SYSDATE);END;#觸發(fā)器與AUDIT會(huì)有相應(yīng)資源開(kāi)消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。[檢測(cè)操作]安全事件日志[目的]數(shù)據(jù)庫(kù)應(yīng)配置日志功能，記錄對(duì)與數(shù)據(jù)庫(kù)相關(guān)的安全事件。[具體配置]創(chuàng)建ORACLE登入觸發(fā)器，記錄相關(guān)信息，但對(duì)IP地址的記錄會(huì)有困難建表LOGON_TABlE建觸發(fā)器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT(‘USERENV’,’SESSION_USER’),SYSDATE);END;觸發(fā)器與AUDIT會(huì)有相應(yīng)的資源開(kāi)消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。[檢測(cè)操作]數(shù)據(jù)庫(kù)審計(jì)策略[目的]根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫(kù)審計(jì)策略。[具體配置]通過(guò)設(shè)置參數(shù)audit_trail=db或os來(lái)打開(kāi)數(shù)據(jù)庫(kù)審計(jì)。然后可以使用Audit命令對(duì)相應(yīng)的對(duì)象進(jìn)行審計(jì)設(shè)置。[檢測(cè)操作]對(duì)審計(jì)的對(duì)象進(jìn)行一次數(shù)據(jù)庫(kù)操作，檢查操作是否被記錄。檢查初始化參數(shù)audit_trail是否設(shè)置。檢查dba_audit_trail視圖中或$ORACLE_BASE/admin/adump目錄下是否有數(shù)據(jù)。AUDIT會(huì)有相應(yīng)資源開(kāi)消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。其它數(shù)據(jù)庫(kù)交叉訪問(wèn)[目的]使用Oracle提供的虛擬私有數(shù)據(jù)庫(kù)（VPD）和標(biāo)簽安全（OLS）來(lái)保護(hù)不同用戶(hù)之間的數(shù)據(jù)交叉訪問(wèn)。[具體配置]在表上構(gòu)建VPD可以使用Oracle所提供的PL/SQL包DBMS_RLS控制整個(gè)VPD基礎(chǔ)架構(gòu)，具體設(shè)置方法較復(fù)雜，建議參考Oracle文檔進(jìn)行配置。Oracle標(biāo)簽安全（OLS）是在相關(guān)表上通過(guò)添加一個(gè)標(biāo)簽列來(lái)實(shí)現(xiàn)復(fù)雜的數(shù)據(jù)安全控制，具體細(xì)節(jié)請(qǐng)參考Oracle文檔。[檢測(cè)操作]通過(guò)視圖來(lái)檢查是否在數(shù)據(jù)庫(kù)對(duì)象設(shè)置了VPD和OLS。查詢(xún)視圖v$vpd_policy和dba_policies.限制DBA權(quán)限用戶(hù)訪問(wèn)敏感數(shù)據(jù)[目的]使用Oracle提供的DataVault選件來(lái)限制有DBA權(quán)限的用戶(hù)訪問(wèn)敏感數(shù)據(jù)。[具體配置]OracleDataVault是作為數(shù)據(jù)庫(kù)安全解決方案的一個(gè)單獨(dú)選件，主要功能是將數(shù)據(jù)庫(kù)管理帳戶(hù)的權(quán)限和應(yīng)用數(shù)據(jù)訪問(wèn)的權(quán)限分開(kāi)，DataVault可限制有DBA權(quán)限的用戶(hù)訪問(wèn)敏感數(shù)據(jù)。設(shè)置比較復(fù)雜，具體細(xì)節(jié)請(qǐng)參考Oracle文檔。安全事件日志[檢測(cè)操作]以DBA用戶(hù)登入，不能查詢(xún)其它用戶(hù)下面的數(shù)據(jù)?；蛘?，在視圖dba_users中查詢(xún)是否存在dvsys用戶(hù)。在視圖dba_objects中檢查是否存在dbms_macadm對(duì)象。數(shù)據(jù)庫(kù)監(jiān)聽(tīng)器[目的]為數(shù)據(jù)庫(kù)監(jiān)聽(tīng)器（LISTENER）的關(guān)閉和啟動(dòng)設(shè)置密碼。[具體配置]通過(guò)下面命令設(shè)置密碼：$lsnrctlLSNRCTL>change_passwordOldpassword:<OldPassword>NotdisplayedNewpassword:<NewPassword>NotdisplayedReenternewpassword:<NewPassword>NotdisplayedConnectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT=1521)(IP=FIRST)))PasswordchangedforLISTENERThecommandcompletedsuccessfullyLSNRCTL>save_config[檢測(cè)操作]使用lsnrctlstart或lsnrctlstop命令起停listener需要密碼。或者檢查$ORACLE_HOME/network/admin/listener.ora文件中是否設(shè)置參數(shù)PASSWORDS_LISTENER.訪問(wèn)源限制[目的]設(shè)置只有信任的IP地址才能通過(guò)監(jiān)聽(tīng)器訪問(wèn)數(shù)據(jù)庫(kù)。[具體配置]只需要在服務(wù)器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中設(shè)置以下行：tcp.validonde_checking=yestcp