Oracle安全配置基线1

第页Oracle数据库系统平安配置基线中国移动通信管理信息系统部2021年4月版本版本控制信息更新日期更新人审批人创立2021年1月V更新2021年4月备注：假设此文档需要日后更新，请创立人填写版本控制表格，否那么删除版本控制表格。

目录第1章 概述 4 目的 4 适用范围 4 适用版本 4 实施 4 例外条款 4第2章 帐号 5 帐号平安 5 删除不必要帐号* 5 限制超级管理员远程登录* 5 用户属性控制 6 数据字典访问权限 6 TNS登录IP限制* 7第3章 口令 8 口令平安 8 帐号口令的生存期 8 重复口令使用 8 认证控制* 9 更改默认帐号密码 9 密码更改策略 10 密码复杂度策略 10第4章 日志 12 日志审计 12 数据库审计谋略* 12第5章 其他 13 其他配置 13 设置监听器密码 13 加密数据* 13第6章 评审与修订 14概述目的本文档规定了中国移动管理信息系统部所维护管理的ORACLE数据库系统应当遵循的数据库平安性设置标准，本文档旨在指导数据库管理人员进展ORACLE数据库系统的平安配置。适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络平安管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的ORACLE数据库系统。适用版本ORACLE数据库系统。实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中假设有任何疑问或建议，应及时反应。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信管理信息系统部进展审批备案。帐号帐号平安删除不必要帐号*平安基线工程名称数据库管理系统Oracle删除不必要帐号平安基线要求项平安基线编号SBL-Oracle-02-01-01平安基线项说明应删除或锁定与数据库运行、维护等工作无关的帐号。检测操作步骤首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除基线符合性判定依据结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的帐号。备注手工判断限制超级管理员远程登录*平安基线工程名称数据库管理系统Oracle远程登录平安基线要求项平安基线编号SBL-Oracle-02-01-02平安基线项说明限制具备数据库超级管理员〔SYSDBA〕权限的用户远程登录。检测操作步骤1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE设置。ShowparameterREMOTE_LOGIN_PASSWORDFILE。基线符合性判定依据参数REMOTE_LOGIN_PASSWORDFILE设置为NONE;〔限制远程登录〕sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置成NONE;〔限制本地帐号权限登录〕备注根据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。例外情况：假设存在rman备份，有从远程发起的备份，比方：connectsys/***@crmdb11assysdba需重点确认是否有影响。用户属性控制平安基线工程名称数据库管理系统Oracle用户属性控制策略平安基线要求项平安基线编号SBL-Oracle-02-01-03平安基线项说明对用户的属性进展控制，主要为密码策略。检测操作步骤1.以DBA用户登陆到sqlplus中。2.查询视图dba_profiles和dba_usres来检查profile是否创立。基线符合性判定依据帐号口令的复杂程度，口令生存周期和帐号的锁定方式等。备注数据字典访问权限平安基线工程名称数据库管理系统Oracle数据字典访问权限策略平安基线要求项平安基线编号SBL-Oracle-02-01-04平安基线项说明启用数据字典保护，只有SYSDBA权限用户才能访问数据字典根底表。检测操作步骤1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.使用showparameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY基线符合性判定依据参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE备注TNS登录IP限制*平安基线工程名称数据库管理系统Oracle数据字典访问权限策略平安基线要求项平安基线编号SBL-Oracle-02-01-05平安基线项说明通过数据库所在操作系统或防火墙限制，只有信任的IP地址才能通过监听器访问数据库。检测操作步骤1.参考配置操作只需在效劳器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设置以下行：tcp.validnode_checking=yestcp.invited_nodes=(ip1,ip2…)2、补充操作说明如果网络层已经做过访问控制，该项为可选项，否那么为必选项可信内网地址指：专用维护终端、访问数据库应用效劳器、堡垒机，其他地址段制止。基线符合性判定依据1、判定条件在非信任的客户端以数据库帐号登陆被提示拒绝。2、检测操作检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置参数tcp.validnode_checking和。备注根据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。口令口令平安帐号口令的生存期平安基线工程名称数据库管理系统Oracle帐号口令生存期平安基线要求项平安基线编号SBL-Oracle-03平安基线项说明对于采用静态口令认证技术的数据库，帐号口令的生存期不长于90天。检测操作步骤1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3、执行selectlimitfromdba_profileswhereresource_name='PASSWORD_LIFE_TIME'andpro(selectprodba_userswhereaccount_status='OPEN'基线符合性判定依据查询结果中PASSWORD_LIFE_TIME小于等于90。备注重复口令使用平安基线工程名称数据库管理系统Oracle重复口令的使用策略平安基线要求项平安基线编号SBL-Oracle-03平安基线项说明对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用最近5次〔含5次〕内已使用的口令。检测操作步骤1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.执行selectresource_name,limitfromdba_profiles,dba_userswheredba_pro=dba_dba_users.account_status='OPEN'andresource_name='PASSWORD_REUSE_MAX';基线符合性判定依据查询结果中PASSWORD_REUSE_MAX大于等于5。备注认证控制*平安基线工程名称数据库管理系统Oracle认证控制策略平安基线要求项平安基线编号SBL-Oracle-03平安基线项说明对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过10次，锁定该用户使用的帐号。检测操作步骤1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.执行selectresource_name,limitfromdba_profiles,dba_userswheredba_pro=dba_dba_users.account_status='OPEN'andresource_name='FAILED_LOGIN_ATTEMPTS';基线符合性判定依据查询结果中FAILED_LOGIN_ATTEMPTS等于10。备注根据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。对核心库、生产用户不能设置此基线。误操作或恶意超过10次，导致用户锁定，有一定风险，可能会导致应用异常更改默认帐号密码平安基线工程名称数据库管理系统Oracle默认帐号口令策略平安基线要求项平安基线编号SBL-Oracle-03平安基线项说明更改数据库默认帐号的密码。检测操作步骤1.以Oracle用户登陆到系统中。2.以system/system、system/manager、sys/sys、sys/cHAnge_on_install、scott/scott、scott/tiger、dbsnmp/dbsnmp、rman/rman、xdb/xdb登陆sqlplus环境。基线符合性判定依据上述帐号口令均不能成功登录。备注密码更改策略平安基线工程名称数据库管理系统Oracle密码更改策略平安基线要求项平安基线编号SBL-Oracle-03平安基线项说明设置帐号宽限期检测操作步骤1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.执行selectresource_name,limitfromdba_profiles,dba_userswheredba_pro=dba_dba_users.account_status='OPEN'andresource_name='PASSWORD_GRACE_TIME'基线符合性判定依据查询结果中PASSWORD_GRACE_TIME小于等于7。备注密码过期后7天内不修改密码，密码将失效密码复杂度策略平安基线工程名称数据库管理系统Oracle密码复杂度策略平安基线要求项平安基线编号SBL-Oracle-03-01-06平安基线项说明对于采用静态口令进展认证的数据库，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置一样的口令。密码应至少每90天进展更换。检测操作步骤1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3、执行selectlimitfromdba_profileswhereresource_name='PASSWORD_VERIFY_FUNCTION'andpro(selectprodba_userswhereaccount_status='OPEN'基线符合性判定依据为用户建profile，调整PASSWORD_VERIFY_FUNCTION，指定密码复杂度备注日志日志审计数据库审计谋略*平安基线工程名称数据库管理系统Oracle数据审计谋略平安基线要求项平安基线编号SBL-Oracle-04平安基线项说明根据业务要求制定数据库审计谋略。对用户登录进展记录，记录内容包括用户登录使用的帐号、登录是否成功、登录时间以及远程登录时用户使用的IP地址；用户对数据库的操作，包括但不限于以下内容：帐号创立、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户帐号，操作时间，操作内容以及操作结果；记录对与数据库相关的平安事件。检测操作步骤1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.使用showparameter命令来检查参数audit_trail是否设置。4.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。基线符合性判定依据参数audit_trail不能设置为NONE。需设置具体的审计内容。可以设置数据库参数audit_sys_operations=true来审计所有SYS用户的操作。备注根据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。通过外围审计实现.数据库开启该项参数后，对数据库性能影响较大。在以往的基线推广中，因数据库审计基线对业务系统影响较大，很难落地实施。其他其他配置设置监听器密码平安基线工程名称数据库管理系统Oracle监听器平安基线要求项平安基线编号SBL-Oracle-05平安基线项说明为数据库监听器〔LISTENER〕的关闭和启动设置密码。检测操作步骤检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDS_LISTENER。基线符合性判定依据要求正确设置参数PASSWORDS_LIST