Oracle数据库安全配置基线

Oracle数据库安全配置基线Oracle数据库安全配置基线ii目录第1章概述.........................................................................................................................................11.1目的.........................................................................................................................................11.2适用范围.................................................................................................................................11.3适用版本.................................................................................................................................1第2章账号.........................................................................................................................................12.1账号安全.................................................................................................................................12.1.1删除不必要账号.............................................................................................................12.1.2限制超级管理员远程登录.............................................................................................22.1.3用户属性控制.................................................................................................................22.1.4数据字典访问权限.........................................................................................................3第3章口令.........................................................................................................................................33.1口令安全.................................................................................................................................33.1.1账户口令的生存期.........................................................................................................33.1.2重复口令使用.................................................................................................................43.1.3认证控制.........................................................................................................................43.1.4更改默认帐户密码.........................................................................................................53.1.5密码更改策略.................................................................................................................53.1.6密码复杂度策略.............................................................................................................6第4章日志.........................................................................................................................................64.1日志审计.................................................................................................................................64.1.1数据库审计策略.............................................................................................................6第5章其他.........................................................................................................................................75.1其他配置.................................................................................................................................75.1.1设置监听器密码.............................................................................................................75.1.2加密数据.........................................................................................................................8第6章持续改进.................................................................................................................................8Oracle数据库安全配置基线1第1章概述1.1目的本文规定了Oracle数据库应当遵循的安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行Oracle数据库的安全合规性检查和配置。1.2适用范围本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括：Oracle数据库服务器。1.3适用版本适用于Oracle10g。第2章账号2.1账号安全2.1.1删除不必要账号安全基线项目名称数据库管理系统Oracle删除不必要帐号安全基线要求项安全基线项说明应删除或锁定与数据库运行、维护等工作无关的账号。检测操作步骤首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除。基线符合性判定依据结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。Oracle数据库安全配置基线2备注2.1.2限制超级管理员远程登录安全基线项目名称数据库管理系统Oracle远程登录安全基线要求项安全基线项说明限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。检测操作步骤1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE设置。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置。基线符合性判定依据参数REMOTE_LOGIN_PASSWORDFILE设置为NONE;sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置成NONE。备注2.1.3用户属性控制安全基线项目名称数据库管理系统Oracle用户属性控制策略安全基线要求项安全基线项说明对用户的属性进行控制，包括密码策略、资源限制等。检测操作步骤1.以DBA用户登陆到sqlplus中；2.查询视图dba_profiles和dba_usres来检查profile是否创建。基线符合性判定依据1.可通过设置profile来限制数据库账户口令的复杂程度，口令生存周期和账户的锁定方式等；2.可通过设置profile来限制数据库账户的CPU资源占用。Oracle数据库安全配置基线3备注2.1.4数据字典访问权限安全基线项目名称数据库管理系统Oracle数据字典访问权限策略安全基线要求项安全基线项说明启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。检测操作步骤1.以Oracle用户登陆到系统中；2.以sqlplus‘/assysdba’登陆到sqlplus环境中；3.使用showparameter命令检查参数O7_DICTIONARY_ACCESSIBILITY。基线符合性判定依据selectVALUEfromv$parameterwhereNAME='O7_DICTIONARY_ACCESSIBILITY'是否设置为FALSE备注第3章口令3.1口令安全3.1.1账户口令的生存期安全基线项目名称数据库管理系统Oracle账户口令生存期安全基线要求项安全基线项说明在相应应用程序条件允许的情况下，对于采用静态口令认证技术的数据库，账户口令的生存期不长于90天。检测操作步骤1.以Oracle用户登陆到系统中；2.以sqlplus‘/assysdba’登陆到sqlplus环境中；3.执行selectresource_name,limitfromdba_profiles,