某Oracle数据库安全加固方案总结

范文范例指导参考word版整理Q/ZD浙江省电力公司企业标准编号：Q/×××————————————————————————————XXXOracle数据库安全加固方案2014年11月19日2010-*-*发布2010-*-*实施范文范例指导参考word版整理————————————————————————————————————浙江省电力公司发布范文范例指导参考word版整理前言为规范Oracle数据库安全加固操作，全面系统地降低Oracle数据库面临的风险，及时堵塞漏洞，提高安全防护能力，特制订《XXXOracle数据库安全加固方案》。本方案适用于Oracle数据库安全加固工作要求。本方案由XXX负责起草设计。本方案主要起草人：XXX。范文范例指导参考word版整理目录1.适用范围.............................................................................................................................................................................................................................................52.方案实施准备.....................................................................................................................................................................................................................................52.1准备工作...........................................................................................................................................................................................................................52.2危险点分析及预控措施....................................................................................................................................................................................................63.方案实施流程.....................................................................................................................................................................................................................................74.方案实施程序及标准.........................................................................................................................................................................................................................85.方案实施操作记录...........................................................................................................................................................................................................................15范文范例指导参考word版整理XXXOracle数据库安全加固方案1.适用范围本方案适用于XXXOracle8i、10g数据库安全加固。2.方案实施准备2.1准备工作序号内容标准1核实Oracle数据库安全加固操作申请熟悉本次方案实施的内容和操作2填写、核实工作操作内容填写工作操作内容，并经相关责任人书面认可3获知本次操作所需的信息1、获知Oracle数据库主机的地址、用户名和密码2、获知Oracle数据库sys和system用户的密码范文范例指导参考word版整理2.2危险点分析及预控措施序号危险点防范措施1修改帐号权限时，造成权限过大或过小以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限2删除或禁止有用的服务、组件等对无用的服务、组件进行排查，并和应用系统厂商进行确认3增加网络访问控制，对应用系统造成影响操作前和业务部门、应用系统厂商进行确认并做好测试工作范文范例指导参考word版整理3.方案实施流程范文范例指导参考word版整理4.方案实施程序及标准序号工作内容操作方法及标准安全措施及注意事项登录系统1通过管理主机登录Oracle数据库主机通过ssh或vnc或RDP登录Oracle数据库主机，输入用户名密码注意用户名、密码的保密2登录Oracle数据库以sys用户的身份登录Oracle数据库，默认：sqlplus/assysdba（10g)或sqlplususername/password（8i）帐号权限加固3限制应用用户在数据库中的权限，尽量保证最小化，避免授予了DBA权限1.查看权限SQLSELECT*FROMdba_sys_privsWHEREgrantee=username;--系统权限SQLSELECT*FROMdba_tab_privsWHEREgrantee=username;--对象权限SQLSELECT*FROMdba_role_privsWHEREgrantee=username;--赋予的角色2.收回相应权限(例如收回selectanytable权限)SQLREVOKEselectanytableFROMusername;3.收回应用用户的DBA角色SQLREVOKEdbaFROMusername;避免分配权限过大或过小4撤消public角色的程序包执行权限1.查看public角色的程序包执行权限SQLSELECTtable_nameFROMdba_tab_privsWHEREgrantee='PUBLIC'andprivilege='EXECUTE';2.撤销public角色的程序包执行权限（例如撤销在utl_file包上的执行权限）SQLREVOKEexecuteONutl_fileFROMpublic;Oracle官方建议撤销public角色对utl_file、utl_http、utl_tcp、utl_smtp、dbms_random范文范例指导参考word版整理程序包的执行权限。5修改系统帐户的默认口令（特别是管理员角色类帐户）锁定所有不需要的用户1.修改sys和system口令SQLALTERUSERsysIDENTIFIEDBYnewpasswd;SQLALTERUSERsystemIDENTIFIEDBYnewpasswd;2.锁定不需要的用户SQLALTERUSERusernameACCOUNTLOCK;6删除系统中多余的自建帐号1.查看用户自建账号SQLSELECTusernameFROMall_users;2.删除或者禁用多余自建账号SQLDROPUSERusernameCASCADE;7为所有应用用户配置强口令1.根据设置的口令策略修改弱口令SQLALTERUSERusernameIDENTIFIEDBYnewpasswd;数据访问控制加固8严格限制库文件的访问权限，保证除属主和root外，其他用户对库文件没有写权限1.用操作系统命令查看库文件访问权限（以RedHatLinux为例）ls-l$ORACLE_BASE/oradata2.用操作系统命令删除库文件组和其他用户的写权限chmod640$ORACLE_BASE/oradata/*3.Windows系统同理（方法不同）修改权限可能对部分应用系统造成影响，需要联系业务部门和应用系统厂商做好相关的测试工作9设置$ORACLE_HOME/bin其下所有程序的访问权限或其他安全控制机制1.用操作系统命令查看bin目录下所有程序文件的访问权限（以RedHatLinux为例）ls-l$ORACLE_HOME/bin2.用操作系统命令删除组和其他用户的写权限chmod640$ORACLE_HOME/bin/*修改权限可能对部分应用系统造成影响，需要联系业务部门和应用系统厂商做好相关的测试工作服务加固范文范例指导参考word版整理10在不影响业务系统正常运行情况下，停止或禁用与承载业务无关的服务或组件1.用操作系统命令查看有无与业务无关的服务或组件2.用操作系统命令停止或禁用与业务无关的服务或组件需要和业务部门确认11删除数据库中存在有无用的、测试的、废弃的表,视图1.查看数据库中表或视图等对象SQLSELECT*FROMdba_tables;SQLSELECT*FROMdba_views;2.删除数据库中存在的无用的、测试的、废弃的表或视图SQLDROPTABLEtablename;SQLDROPVIEWviewname;需要和业务部门确认网络访问控制加固12设置TNS登录的IP限制，仅允许最少的必要的IP地址可连接TNS监听器1.在目录$ORACLE_HOME/network/admin下修改sqlnet.ora文件实现TNS登录IP限制,设置下列配置信息：tcp.validnode_checking=yes#允许访问的iptcp.invited_nodes=(ip1,ip2,……)#不允许访问的iptcp.excluded_nodes=(ip1,ip2,……)2.修改sqlnet.ora后，重新启动listener服务可能对部分应用系统造成影响，需要联系业务部门和应用系统厂商做好相关的测试工作13关闭远程操作系统认证1.在目录$ORACLE_HOME/network/admin下修改sqlnet.ora文件,设置下列配置信息:sqlnet.authentication_services=(NONE)2.修改参数Remote_login_passwordfile为EXCLUSIVE或SHAREDSQLALTERSYSTEMSETREMOTE_LOGIN_PASSWORDFILE=EXCLUSIVESCOPE=SPFILE;3.修改参数REMOTE_OS_AUTHENTSQLALTERSYSTEMSETREMOTE_OS_AUTHENT=FALSESCOPE=SPFILE;4.重启数据库和监听使修改生效需要重启服务，应提前通知业务部门范文范例指导参考word版整理14在不影响应用的前提下，更改默认的1521端口1.查看当前监听的状态lsnrctlstatus2.停止监听lsnrctlstop3.修改监听文件的端口号，在目录$ORACLE_HOME/network/adm