Oracle安全配置基线

Oracle数据库系统平安配置基线中国移动通信管理信息系统部2023年4月骤2.以system/system>system/manager、sys/sys>sys/cHAnge_on_install、scott/scott>scott/tiger>dbsnmp/dbsnmp、rman/rman>xdb/xdb登陆sqlplus环境。基线符合性判定依据上述帐号口令均不能胜利登录。备注密码更改策略平安基线工程名称数据库管理系统Oracle密码更改策略平安基线要求项平安基线编号SBL-Oracle-03-01-05平安基线项说明设置帐号宽限期检测操作步1.以Oracle用户登陆到系统中。骤.以sqlplus7assysdba'登陆到sqlplus环境中。.执行selectresource_name,limitfromdba_profiles,dba_userswheredba_pro=dba_dba_users.account_status=,OPEN,andresource_name=,PASSWORD_GRACE_TIME,基线符合性判定依据查询结果中PASSWORD_GRACE_TIME小于等于7。备注密码过期后7天内不修改密码，密码将失效密码困难度策略平安基线工程名称数据库管理系统Oracle密码困难度策略平安基线要求项平安基线编号SBL-Oracle-03-01-06平安基线项说明对于采纳静态口令进展认证的数据库，口令长度至少8位，并包括数字、小写字母、大写字母和特别符号四类中至少两类。且5次以内不得设置一样的口令。密码应至少每90天进展更换。检测操作步骤.以Oracle用户登陆到系统中。.以sqlplus7assysdba'登陆到sqlplus环境中。3、个1彳亍selectlimitfromdba_profileswhereresource_name='PASSWORD_VERIFY_FUNCTION,andpro(selectprodba_userswhereaccount_status='OPEN'基线符合性判定依据为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码困难度备注日志审计数据库审计谋略*平安基线工程名称数据库管理系统Oracle数据审计谋略平安基线要求项平安基线编号SBL-Oracle-04-Ol-Ol平安基线项说明依据业务要求制定数据库审计谋略。对用户登录进展记录，记录内容包括用户登录运用的帐号、登录是否胜利、登录时间以及远程登录时用户运用的IP地址；用户对数据库的操作，包括但不限于以下内容：帐号创立、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录须要包含用户帐号，操作时间，操作内容以及操作结果；记录对与数据库相关的平安事务。检测操作步骤.以Oracle用户登陆到系统中。.以sqlplus7assysdba"登陆到sqlplus环境中。.运用showparameter吩咐来检查参数audit_trail是否设置。.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump书目下是否有数据。基线符合性判定依据参数audit_trail不能设置为NONE。需设置详细的审计内容。可以设置数据库参数audit_sys_operations=true来审计全部SYS用户的操作。备注依据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。通过外围审计实现.数据库开启该项参数后，对数据库性能影响较大。在以往的基线推广中，因数据库审计基线对业务系统影响较大，很难落地实施。第5章其他5.1其他配置设置监听器密码平安基线工程名称数据库管理系统Oracle监听器平安基线要求项平安基线编号SBL-Oracle-05-Ol-Ol平安基线项说明为数据库监听器(LISTENER)的关闭和启动设置密码。检测操作步检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数骤PASSWORDS.LISTENER。基线符合性判定依据要求正确设置参数PASSWORDS_LISTENER；运用Isnrctlstart或Isnrctlstop吩咐起停listener须要密码。备注加密数据*平安基线工程名称数据库管理系统Oracle加密数据平安基线要求项平安基线编号SBL-Oracle-05-01-02平安基线项说明运用Oracle供应的高级平安选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据。检测操作步骤基线符合性判定依据要求正确设置参数；通过网络层捕获的数据库传输包为加密包。备注依据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。第6章评审与修订本标准由中国移动通信管理信息系统部定期进展审查，依据谛视结果修订标准，并颁发执行。版本版本限制信息更新日期更新人审批人创立2023年1月V更新2023年4月备注：1.假设此文档须要日后更新，请创立人填写版本限制表格，否那么删除版本限制表格。TOC\o"1-5"\h\z第1章概述4目的4适用范围4适用版本4实施4例夕卜条款4第2章帐号5帐号平安5删除不必要帐号*5\o"CurrentDocument"限制超级管理员远程登录*5用户属性限制6数据字典访问权限6TNS登录IP限制*7\o"CurrentDocument"第3章 □令8口令平安8帐号口令的生存期8重复口令运用8认证限制*9更改默认帐号密码9密码更改策略10密码困难度策略10第4章日志12日志审计12数据库审计谋略*12\o"CurrentDocument"第5章其他13其他配置13设置监听器密码13加密数据*13\o"CurrentDocument"第6章评审与修订14目的本文档规定了中国移动管理信息系统部所维护管理的ORACLE数据库系统应当遵循的数据库平安性设置标准，本文档旨在指导数据库管理人员进展ORACLE数据库系统的平安配置。适用范围本配置标准的运用者包括：数据库管理员、应用管理员、网络平安管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的ORACLE数据库系统。适用版本ORACLE数据库系统。实施本标准的说明权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中假设有任何疑问或建议，应刚好反应。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必需打算书面申请文件，说明业务需求和缘由，送交中国移动通信管理信息系统部进展审批备案。2.1帐号平安删除不必要帐号*平安基线工程名称数据库管理系统Oracle删除不必要帐号平安基线要求项平安基线编号SBL-Oracle-02-Ol-Ol平安基线项说明应删除或锁定与数据库运行、维护等工作无关的帐号。检测操作步骤首先锁定不须要的用户在经过段时间后，确认该用户对业务确无影响的状况下，可以删除基线符合性判定依据结合要求和实际业务状况推断符合要求，删除或锁定与设备运行、维护等与工作无关的帐号。备注手工推断限制超级管理员远程登录*平安基线工程名称数据库管理系统Oracle远程登录平安基线要求项平安基线编号SBL-Oracle-02-01-02平安基线项说明限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。检测操作步1.以Oracle用户登陆到系统中。骤.以sqlplus7assysdba'登陆到sqlplus环境中。.运用showparameter吩咐来检查参数REMOTE_LOGIN_PASSWORDFILE设置。ShowparameterREMOTE_LOGIN_PASSWORDFILEo基线符合性判定依据.参数REMOTE_LOGIN_PASSWORDFILE设置为NONE;〔限制远程登录）.sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置成NONE;（限制本地帐号权限登录）备注依据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。例外状况：假设存在rman备份，有从远程发起的备份，比方：connectsys/***@crmdbl1assysdba需重点确认是否有影响。用户属性限制平安基线工程名称数据库管理系统Oracle用户属性限制策略平安基线要求项平安基线编号SBL-Oracle-02-01-03平安基线项说明对用户的属性进展限制，主要为密码策略。检测操作步骤.以DBA用户登陆到sqlplus中。.查询视图dba_profiles和dba_usres来检查profile是否创立。基线符合性判定依据帐号口令的困难程度，口令生存周期和帐号的锁定方式等。备注数据字典访问权限平安基线工程名称数据库管理系统Oracle数据字典访问权限策略平安基线要求项平安基线编号SBL-Oracle-02-01-04平安基线项说明启用数据字典爱护，只有SYSDBA权限用户才能访问数据字典根底表。检测操作步骤.以Oracle用户登陆到系统中。.以sqlplus7assysdba'登陆到sqlplus环境中。.运用showparameter吩咐来检查参数O7_DICTIONARY_ACCESSIBILITY基线符合性判定依据参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE备注TNS登录IP限制平安基线工程名称数据库管理系统Oracle数据字典访问权限策略平安基线要求项平安基线编号SBL-Oracle-02-01-05平安基线项说明通过数据库所在操作系统或防火墙限制，只有信任的ip地址才能通过监听器访问数据库。检测操作步骤1.参考配置操作只需在效劳器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设置以下行：tcp.validnode_checking=yestcp.invitednodes=(ipl,ip2...)2、补充操作说明假如网络层已经做过访问限制，该项为可选项，否那么为必选项可信内网地址指：专用维护终端、访问数据库应用效劳器、堡垒机，其他地址段制止。基线符合性判定依据1、判定条件在非信任的客户端以数据库帐号登陆被提示拒绝。2、检测操作检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置参数tcp.validnode_checking和。备注依据应用场景的不问，如部署场景需开启此功能，那么强制要求此项。第3章口令3.1口令平安帐号口令的生存期平安基线工程名称数据库管理系统Oracle帐号口令生存期平安基线要求项平安基线编号SBL-Oracle-03-Ol-Ol平安基线项说明对于采纳静态口令认证技术的数据库，帐号口令的生存期不长于90天。检测操作步骤.以Oracle用户登陆到系统中。.以sqlplus7assysdba'登陆到sqlplus环境中。3、执行selectlimitfromdba_profileswhereresource_name=,PASSWORD_LIFE_TIME,andpro(selectprodba_userswhereaccount_status='OPEN'基线符合性判定依据查询结果中PASSWORD_LIFE_TIME小于等于90。备注重复口令运用平安基线工程名称数据库管理系统Oracle重复口令的运用策略平安基线要求项平安基线编号SBL-Oracle-03-01-02平安基线项说明对于米纳静态口令认证技术的数据库，应配置数据库，运用户不能重复运用最近5次（含5次）内已运用的口令。检测操作步骤.以Oracle用户登陆到系统中。.以sqlplus7assysdba'登陆到sqlplus环境中。.执彳亍selectresource_name,limitfromdba_profiles,dba_userswheredba_pro=dba_dba_users.account_status=,OPEN,andresource_name='PASSWORD_REUSE_MAX';基线符合性判定依据查询结果中PASSWORD_REUSE_MAX大于等于5。备注认证限制*平安基线工程名称数据库管理系统Oracle认证限制策略平安基线要求项平安基线编号SBL-Oracle-03-01-03平安基线项说明对于采纳静态口令认证技术的数据库，应配置当用户连续认证失败次数超过10次，锁定该用户运用的帐号。检测操作步1.以Oracle用户登陆到系统中。骤.以sqlplus7assysdba'登陆到sqlplus环境中。.执彳亍selectresource_name,limitfromdba_profiles,dba_userswheredba_pro=dba_dba_users.account_status=