Oracle数据库安全配置规范【华为】

目录1概述........................................................................................................................................................................21.1适用范围.......................................................................................................................................................21.2内部适用性说明............................................................................................................错误!未定义书签。1.3外部引用说明................................................................................................................错误!未定义书签。1.4术语和定义....................................................................................................................错误!未定义书签。1.5符号和缩略语...............................................................................................................................................22ORACLE安全配置要求......................................................................................................................................22.1账号...............................................................................................................................................................22.2口令...............................................................................................................................................................72.3日志..............................................................................................................................................................112.4其他..............................................................................................................................................................13ORACLE数据库安全配置规范21概述1.1适用范围本规范明确了Oracle数据库安全配置方面的基本要求。1.2符号和缩略语缩写英文描述中文描述DBADatabaseAdministrator数据库管理员VPDVirtualPrivateDatabase虚拟专用数据库OLSOracleLabelSecurityOracle标签安全2ORACLE安全配置要求本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。本规范从ORACLE数据库的认证授权功能、安全日志功能，和其他自身安全配置功能提出安全要求。2.1账号ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。2.1.1按用户分配帐号要求内容应按照用户分配账号，避免不同用户间共享账号。ORACLE数据库安全配置规范3操作指南1、参考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并给role授权，把role赋给不同的用户2、补充操作说明1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；检测方法3、判定条件不同名称的用户可以连接数据库4、检测操作connectabc1/password1连接数据库成功5、补充说明2.1.2删除或锁定无关帐号要求内容应删除或锁定与数据库运行、维护等工作无关的账号。操作指南1、参考配置操作alteruserusernamelock;dropuserusernamecascade;2、补充操作说明检测方法3、判定条件首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除4、检测操作5、补充说明2.1.3限制SYSDBA用户的远程登录要求内容限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。ORACLE数据库安全配置规范4操作指南1、参考配置操作1.在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。2.在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。2、补充操作说明检测方法3、判定条件1.不能通过Sql*Net远程以SYSDBA用户连接到数据库。2.在数据库主机上以sqlplus‘/assysdba’连接到数据库需要输入口令。4、检测操作1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。5、补充说明2.1.4用户权限最小化要求内容在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作grant权限tousername;revoke权限fromusername;2、补充操作说明用第一条命令给用户赋相应的最小权限用第二条命令收回用户多余的权限ORACLE数据库安全配置规范5检测方法3、判定条件业务测试正常4、检测操作业务测试正常5、补充说明2.1.5使用ROLE管理对象的权限要求内容使用数据库角色（ROLE）来管理对象的权限。操作指南1、参考配置操作1.使用CreateRole命令创建角色。2.使用用Grant命令将相应的系统、对象或Role的权限赋予应用用户。2、补充操作说明检测方法3、判定条件对应用用户不要赋予DBARole或不必要的权限。4、检测操作1.以DBA用户登陆到sqlplus中。2.通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。5、补充说明2.1.6控制用户属性要求内容对用户的属性进行控制，包括密码策略、资源限制等。操作指南1、参考配置操作可通过下面类似命令来创建profile，并把它赋予一个用户CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60ORACLE数据库安全配置规范6PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;2、补充操作说明检测方法3、判定条件1.可通过设置profile来限制数据库账户口令的复杂程度，口令生存周期和账户的锁定方式等。2.可通过设置profile来限制数据库账户的CPU资源占用。4、检测操作1.以DBA用户登陆到sqlplus中。2.查询视图dba_profiles和dba_usres来检查profile是否创建。5、补充说明2.1.7启用数据库字典保护要求内容启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。操作指南1、参考配置操作通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。O7_DICTIONARY_ACCESSIBILITY=FALSE2、补充操作说明检测方法3、判定条件以普通dba用户登陆到数据库，不能查看X$开头的表，比如：select*fromsys.x$ksppi;4、检测操作1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。ORACLE数据库安全配置规范73.使用showparameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY5、补充说明2.2口令2.2.1静态口令认证的密码复杂度控制要求内容对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作为用户建profile，调整PASSWORD_VERIFY_FUNCTION，指定密码复杂度2、补充操作说明检测方法3、判定条件修改密码为不符合要求的密码，将失败4、检测操作alteruserabcd1identifiedbyabcd1;将失败5、补充说明2.2.2静态口令认证的密码生命周期要求内容对于采用静态口令认证技术的数据库，账户口令的生存期不长于90天。操作指南1、参考配置操作为用户建相关profile，指定PASSWORD_GRACE_TIME为90天2、补充操作说明在90天内，需要修改密码检测方法3、判定条件ORACLE数据库安全配置规范8到期不修改密码，密码将会失效。连接数据库将不会成功4、检测操作connectusername/password报错5、补充说明2.2.3静态口令认证的密码重复使用限制要求内容对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1、参考配置操作为用户建profile,指定PASSWORD_REUSE_MAX为５2、补充操作说明当前使用的密码，必需在密码修改５次后才能再次被使用检测方法3、判定条件重用修改５次内的密码，将不能成功4、检测操作alteruserusernameidentifiedbypassword1;如果password1在５次修改密码内被使用，该操作将