Oracle數(shù)據(jù)庫系統(tǒng)加固規(guī)范

1、OracleOracle 數(shù)據(jù)庫系統(tǒng)加固規(guī)范數(shù)據(jù)庫系統(tǒng)加固規(guī)范 目目錄錄 1賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)管理、認(rèn)證授權(quán).1 1.1賬號(hào).1 1.1.1SHG-Oracle-01-01-01.1 1.1.2SHG-Oracle-01-01-02.2 1.1.3SHG-Oracle-01-01-03.3 1.1.4SHG-Oracle-01-01-04.4 1.1.5SHG-Oracle-01-01-05.5 1.1.6SHG-Oracle-01-01-06.7 1.1.7SHG-Oracle-01-01-07.8 1.1.8SHG-Oracle-01-01-08.10 1.2口令.11 1.2.1SH

2、G-Oracle-01-02-01.11 1.2.2SHG-Oracle-01-02-02.12 1.2.3SHG-Oracle-01-02-03.14 1.2.4SHG-Oracle-01-02-04.15 1.2.5SHG-Oracle-01-02-05.16 2日志配置日志配置.18 2.1.1SHG-Oracle-02-01-01.18 2.1.2SHG-Oracle-02-01-02.21 2.1.3SHG-Oracle-02-01-03.22 2.1.4SHG-Oracle-02-01-04.24 3通信協(xié)議通信協(xié)議.25 3.1.1SHG-Oracle-03-01-01.25 3

3、.1.2SHG-Oracle-03-01-02.26 4設(shè)備其他安全要求設(shè)備其他安全要求.27 4.1.1SHG-Oracle-04-01-01.27 4.1.2SHG-Oracle-04-01-02.29 1 1 1 1 賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)管理、認(rèn)證授權(quán) 1.11.11.11.1 賬號(hào)賬號(hào)賬號(hào)賬號(hào) 1.1.11.1.11.1.11.1.1 SHG-Oracle-01-01-01SHG-Oracle-01-01-01SHG-Oracle-01-01-01SHG-Oracle-01-01-01 編號(hào) SHG-Oracle-01-01-01 名稱為不同的管理

4、員分配不同的賬號(hào) 實(shí)施目的 應(yīng)按照用戶分配賬號(hào)，避免不同用戶間共享賬號(hào),提高安全 性。 問題影響賬號(hào)混淆，權(quán)限不明確，存在用戶越權(quán)使用的可能。 系統(tǒng)當(dāng)前狀態(tài) select * from all_users; select * from dba_users; 記錄用戶列表 實(shí)施步驟 1 1、參考配置操作、參考配置操作 create user abc1 identified by password1; create user abc2 identified by password2; 建立 role，并給 role 授權(quán)，把 role 賦給不同的用戶 2 2、補(bǔ)充操作說明補(bǔ)充操作說明 1、abc1

5、和abc2是兩個(gè)不同的賬號(hào)名稱，可根據(jù)不同用戶， 取不同的名稱； 回退方案 刪除用戶：例如創(chuàng)建了一個(gè)用戶 A，要?jiǎng)h除它可以這樣做 connect sys/密碼 as sysdba; drop user A cascade;/就這樣用戶就被刪除了 判斷依據(jù)標(biāo)記用戶用途，定期建立用戶列表，比較是否有非法用戶 實(shí)施風(fēng)險(xiǎn)高 重要等級(jí) 備注 1.1.21.1.21.1.21.1.2 SHG-Oracle-01-01-02SHG-Oracle-01-01-02SHG-Oracle-01-01-02SHG-Oracle-01-01-02 編號(hào) SHG-Oracle-01-01-02 名稱刪除或鎖定無效賬號(hào)

6、實(shí)施目的刪除或鎖定無效的賬號(hào)，減少系統(tǒng)安全隱患。 問題影響允許非法利用系統(tǒng)默認(rèn)賬號(hào) 系統(tǒng)當(dāng)前狀態(tài) select * from all_users; select * from dba_users; 記錄用戶列表 實(shí)施步驟 1 1、參考配置操作、參考配置操作 alter user username lock;/鎖定用戶 drop user username cascade;/刪除用戶 回退方案刪除新增加的帳戶 判斷依據(jù) 首先鎖定不需要的用戶 在經(jīng)過一段時(shí)間后，確認(rèn)該用戶對(duì)業(yè)務(wù)確無影響的情況下， 可以刪除 實(shí)施風(fēng)險(xiǎn)高 重要等級(jí) 備注 1.1.31.1.31.1.31.1.3 SHG-Oracle-

7、01-01-03SHG-Oracle-01-01-03SHG-Oracle-01-01-03SHG-Oracle-01-01-03 編號(hào) SHG-Oracle-01-01-03 名稱限制超級(jí)管理員遠(yuǎn)程登錄 實(shí)施目的 限制具備數(shù)據(jù)庫超級(jí)管理員（SYSDBA）權(quán)限的用戶遠(yuǎn)程登 錄。 。 問題影響允許數(shù)據(jù)庫超級(jí)管理員遠(yuǎn)程非法登陸 系統(tǒng)當(dāng)前狀態(tài)查看 spfile,sqlnet.ora 內(nèi)容 實(shí)施步驟 1 1、參考配置操作、參考配置操作 在 spfile 中設(shè)置 REMOTE_LOGIN_PASSWORDFILE=NONE 來禁 止 SYSDBA 用戶從遠(yuǎn)程登陸。在 sqlnet.ora 中設(shè)置 SQL

8、NET.AUTHENTICATION_SERVICES=NONE 來禁用 SYSDBA 角 色的自動(dòng)登錄。 回退方案還原 spfile,sqlnet.ora 文件配置 判斷依據(jù) 判定條件判定條件 1. 不能通過 Sql*Net 遠(yuǎn)程以 SYSDBA 用戶連接到數(shù)據(jù)庫。 2. 在數(shù)據(jù)庫主機(jī)上以 sqlplus /as sysdba連接到數(shù)據(jù) 庫需要輸入口令。 檢測(cè)操作檢測(cè)操作 1. 以 Oracle 用戶登陸到系統(tǒng)中。 2. 以 sqlplus /as sysdba登陸到 sqlplus 環(huán)境中。 3. 使用 show parameter 命令來檢查參數(shù) REMOTE_LOGIN_PASSWOR

9、DFILE 是否設(shè)置為 NONE。 Show parameter REMOTE_LOGIN_PASSWORDFILE 4. 檢查在 $ORACLE_HOME/network/admin/sqlnet.ora 文件中參數(shù) SQLNET.AUTHENTICATION_SERVICES 是否被設(shè)置成 NONE。 實(shí)施風(fēng)險(xiǎn)高 重要等級(jí) 備注 1.1.41.1.41.1.41.1.4 SHG-Oracle-01-01-04SHG-Oracle-01-01-04SHG-Oracle-01-01-04SHG-Oracle-01-01-04 編號(hào) SHG-Oracle-01-01-04 名稱權(quán)限最小化 實(shí)施目

10、的 在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其 所需的最小權(quán)限。 問題影響賬號(hào)權(quán)限越大,對(duì)系統(tǒng)的威脅性越高 系統(tǒng)當(dāng)前狀態(tài) select * from user_sys_privs; select * from user_role_privs; select * from user_tab_privs; 記錄用戶擁有權(quán)限 實(shí)施步驟 1 1、參考配置操作參考配置操作 grant權(quán)限to username; revoke 權(quán)限from username; 2 2、補(bǔ)充操作說明補(bǔ)充操作說明 用第一條命令給用戶賦相應(yīng)的最小權(quán)限 用第二條命令收回用戶多余的權(quán)限 回退方案還原添加或刪除的權(quán)限 判斷依

11、據(jù)業(yè)務(wù)測(cè)試正常 實(shí)施風(fēng)險(xiǎn)高 重要等級(jí) 備注 1.1.51.1.51.1.51.1.5 SHG-Oracle-01-01-05SHG-Oracle-01-01-05SHG-Oracle-01-01-05SHG-Oracle-01-01-05 編號(hào) SHG-Oracle-01-01-05 名稱數(shù)據(jù)庫角色 實(shí)施目的使用數(shù)據(jù)庫角色（ROLE）來管理對(duì)象的權(quán)限。 問題影響賬號(hào)管理混亂 系統(tǒng)當(dāng)前狀態(tài) select * from dba_role_privs; select * from user_role_privs; 記錄用戶擁有的 role 實(shí)施步驟 一創(chuàng)建角色,修改角色 1.創(chuàng)建角色，不指定密碼：

12、create role testrole； 2創(chuàng)建角色，指定密碼： create role testrole identified by passwd; 3修改角色： alter role testrole identified by passwd; 4. 給角色授予權(quán)限。 Grant select on Table_name to testrole; 把角色賦予用戶：（特別說明，授予角色不是實(shí)時(shí)的。如 下：） grant testrole to User_Name; 二、起用角色：給用戶賦予角色，角色并不會(huì)立即起作用。 1角色不能立即起作用。必須下次斷開此次連接，下次連 接才能起作用。 2.

13、或者執(zhí)行命令：有密碼的角色 set role testrole identified by passwd 立即生效； 3無密碼的角色：set role testrole； 回退方案 刪除相應(yīng)的 Role revoke role_name from user_name 判斷依據(jù)對(duì)應(yīng)用用戶不要賦予 DBA Role 或不必要的權(quán)限 實(shí)施風(fēng)險(xiǎn)高 重要等級(jí) 備注 1.1.61.1.61.1.61.1.6 SHG-Oracle-01-01-06SHG-Oracle-01-01-06SHG-Oracle-01-01-06SHG-Oracle-01-01-06 編號(hào) SHG-Oracle-01-01-06

14、名稱用戶 profile 實(shí)施目的對(duì)用戶的屬性進(jìn)行控制，包括密碼策略、資源限制等。 問題影響賬號(hào)安全性低. 系統(tǒng)當(dāng)前狀態(tài) SELECT profile FROM dba_users WHERE username=user_name; 記錄用戶賦予的 profile 實(shí)施步驟 可通過下面類似命令來創(chuàng)建 profile，并把它賦予一個(gè)用戶 SQL show parameter resource_limit SQL alter system set resource_limit=true; CREATE PROFILE profile_name LIMIT FAILED_LOGIN_ATTEMPTS

15、 6 PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_LOCK_TIME 1/24 PASSWORD_GRACE_TIME 90; ALTER USER user_name PROFILE profile_name; 回退方案 alter user dinya profile default; 恢復(fù)默認(rèn) 判斷依據(jù) 1. 可通過設(shè)置 profile 來限制數(shù)據(jù)庫賬戶口令的復(fù)雜程度， 口令生存周期和賬戶的鎖定方式等。

16、 2. 可通過設(shè)置 profile 來限制數(shù)據(jù)庫賬戶的 CPU 資源占用。 4 4、檢測(cè)操作、檢測(cè)操作 1. 以 DBA 用戶登陸到 sqlplus 中。 2. 查詢視圖 dba_profiles 和 dba_usres 來檢查 profile 是否創(chuàng)建。 實(shí)施風(fēng)險(xiǎn)高 重要等級(jí) 備注 1.1.71.1.71.1.71.1.7 SHG-Oracle-01-01-07SHG-Oracle-01-01-07SHG-Oracle-01-01-07SHG-Oracle-01-01-07 編號(hào) SHG-Oracle-01-01-07 名稱數(shù)據(jù)字典保護(hù) 實(shí)施目的 啟用數(shù)據(jù)字典保護(hù)，只有 SYSDBA 用戶才

17、能訪問數(shù)據(jù)字典基 礎(chǔ)表。 問題影響數(shù)據(jù)庫安全性低. 系統(tǒng)當(dāng)前狀態(tài) Show parameter O7_DICTIONARY_ACCESSIBILITY 記錄當(dāng)前狀態(tài) 實(shí)施步驟 通過設(shè)置下面初始化參數(shù)來限制只有 SYSDBA 權(quán)限的用戶才 能訪問數(shù)據(jù)字典。 alter system set O7_DICTIONARY_ACCESSIBILITY=FALSE scope=spfile; 回退方案修改 O7_DICTIONARY_ACCESSIBILITY 為原來屬性 判斷依據(jù) 以普通用戶登陸到數(shù)據(jù)庫，不能查看 X$開頭的表，比如： select * from sys. x$ksppi; 檢測(cè)操作檢

18、測(cè)操作 1. 以 Oracle 用戶登陸到系統(tǒng)中。 2. 以 sqlplus /as sysdba登陸到 sqlplus 環(huán)境中。 3. 使用 show parameter 命令來檢查參數(shù) O7_DICTIONARY_ACCESSIBILITY 是否設(shè)置為 FALSE。 Show parameter O7_DICTIONARY_ACCESSIBILITY 實(shí)施風(fēng)險(xiǎn)高 重要等級(jí) 備注 1.1.81.1.81.1.81.1.8 SHG-Oracle-01-01-0SHG-Oracle-01-01-0SHG-Oracle-01-01-0SHG-Oracle-01-01-08 8 8 8 編號(hào) SHG

19、-Oracle-01-01-08 名稱檢查 DBA 組用戶 實(shí)施目的 限制在 DBA 組中的操作系統(tǒng)用戶數(shù)量，通常 DBA 組中只有 Oracle 安裝用戶。 問題影響影響組用戶管理 系統(tǒng)當(dāng)前狀態(tài) Cat /etc/passwd 實(shí)施步驟 參考配置操作參考配置操作 通過/etc/passwd 文件來檢查是否有其它用戶在 DBA 組中。 刪除用戶：#userdel username; 鎖定用戶： 1) 修改/etc/shadow 文件，用戶名后加*LK* 2) 將/etc/passwd 文件中的 shell 域設(shè)置成/bin/false 3) #passwd -l username 只有具備超級(jí)

20、用戶權(quán)限的使用者方可使用，#passwd -l username 鎖定用戶,用#passwd d username 解鎖后原有 密碼失效，登錄需輸入新密碼，修改/etc/shadow 能保留原 有密碼。 回退方案 還原/etc/passwd 文件 判斷依據(jù) 判定條件判定條件 無其它用戶屬于 DBA 組。 檢測(cè)操作檢測(cè)操作 通過/etc/passwd 文件來檢查是否有其它用戶在 DBA 組中。 實(shí)施風(fēng)險(xiǎn)高 重要等級(jí) 備注 1.21.21.21.2口令口令口令口令 1.2.11.2.11.2.11.2.1 SHG-Oracle-01-02-01SHG-Oracle-01-02-01SHG-Orac

21、le-01-02-01SHG-Oracle-01-02-01 編號(hào) SHG-Oracle-01-02-01 名稱缺省密碼長(zhǎng)度復(fù)雜度限制 實(shí)施目的 對(duì)于采用靜態(tài)口令進(jìn)行認(rèn)證的數(shù)據(jù)庫，口令長(zhǎng)度至少 6 位， 并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào) 4 類中至少 2 類。 問題影響增加密碼被暴力破解的成功率 系統(tǒng)當(dāng)前狀態(tài) SELECT profile FROM dba_users WHERE username=user_name; 記錄用戶賦予的 profile 實(shí)施步驟 1 1、參考配置操作、參考配置操作 為用戶建 profile，調(diào)整 PASSWORD_VERIFY_FUNCTION，指 定密

22、碼復(fù)雜度 示例: SQLCREATE OR REPLACE FUNCTION my_password_verify (username VARCHAR2 ,password VARCHAR2 ,old_password VARCHAR2 ) RETURN BOOLEAN IS 2 BEGIN 3 IF LENGTH(password) create profile TEST_PROFILE limit 2 password_verify_function MY_PASSWORD_VERIFY; 回退方案 alter user user_name profile default; 判斷依據(jù) 1

23、1、判定條件判定條件 修改密碼為不符合要求的密碼，將失敗 2 2、檢測(cè)操作檢測(cè)操作 alter user user_name identified by passwd;將失敗 實(shí)施風(fēng)險(xiǎn)低 重要等級(jí) 備注 1.2.21.2.21.2.21.2.2 SHG-Oracle-01-02-02SHG-Oracle-01-02-02SHG-Oracle-01-02-02SHG-Oracle-01-02-02 編號(hào) SHG-Oracle-01-02-02 名稱缺省密碼生存周期限制 實(shí)施目的 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不 長(zhǎng)于 90 天，減少口令安全隱患。 問題影響密碼被非法利用，并且難

24、以管理 系統(tǒng)當(dāng)前狀態(tài) SELECT profile FROM dba_users WHERE username=user_name; 記錄用戶賦予的 profile 實(shí)施步驟 1 1、參考配置操作參考配置操作 為用戶建相關(guān) profile，指定 PASSWORD_GRACE_TIME 為 90 天 2 2、補(bǔ)充操作說明補(bǔ)充操作說明 在 90 天內(nèi)，需要修改密碼 回退方案 alter user user_name profile default; 判斷依據(jù) 3 3、判定條件判定條件 到期不修改密碼，密碼將會(huì)失效。連接數(shù)據(jù)庫將不會(huì)成功 4 4、檢測(cè)操作檢測(cè)操作 connect username/p

25、assword 報(bào)錯(cuò) 實(shí)施風(fēng)險(xiǎn)低 重要等級(jí) 備注 1.2.31.2.31.2.31.2.3 SHG-Oracle-01-02-0SHG-Oracle-01-02-0SHG-Oracle-01-02-0SHG-Oracle-01-02-03 3 3 3 編號(hào) SHG-Oracle-01-02-03 名稱密碼重復(fù)使用限制 實(shí)施目的 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶 不能重復(fù)使用最近 5 次（含 5 次）內(nèi)已使用的口令。 問題影響密碼破解的幾率增加 系統(tǒng)當(dāng)前狀態(tài) SELECT profile FROM dba_users WHERE username=user_name; 記錄用戶

26、賦予的 profile 實(shí)施步驟 1 1、參考配置操作參考配置操作 為用戶建 profile,指定 PASSWORD_REUSE_MAX 為 2 2、補(bǔ)充操作說明補(bǔ)充操作說明 當(dāng)前使用的密碼，必需在密碼修改次后才能再次被使用 回退方案 alter user user_name profile default; 判斷依據(jù) 3 3、判定條件判定條件 重用修改次內(nèi)的密碼，將不能成功 4 4、檢測(cè)操作檢測(cè)操作 alter user username identified by password1;如果 password1 在次修改密碼內(nèi)被使用，該操作將不能成功 實(shí)施風(fēng)險(xiǎn)低 重要等級(jí) 備注 1.2.41

27、.2.41.2.41.2.4 SHG-Oracle-01-02-0SHG-Oracle-01-02-0SHG-Oracle-01-02-0SHG-Oracle-01-02-04 4 4 4 編號(hào) SHG-Oracle-01-02-04 名稱密碼重試限制 實(shí)施目的 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn) 證失敗次數(shù)超過 6 次（不含 6 次） ，鎖定該用戶使用的賬號(hào)。 問題影響允許暴力破解密碼 系統(tǒng)當(dāng)前狀態(tài) SELECT profile FROM dba_users WHERE username=user_name; 記錄用戶賦予的 profile 實(shí)施步驟 1 1、參考配置操作參考

28、配置操作 為用戶建 profile，指定 FAILED_LOGIN_ATTEMPTS 為 2 2、補(bǔ)充操作說明補(bǔ)充操作說明 如果連續(xù)次連接該用戶不成功，用戶將被鎖定 回退方案 alter user user_name profile default; 判斷依據(jù) 3 3、判定條件判定條件 連續(xù)次用錯(cuò)誤的密碼連接用戶，第次時(shí)用戶將被鎖定 4 4、檢測(cè)操作檢測(cè)操作 connect username/password，連續(xù)次失敗，用戶被鎖定 實(shí)施風(fēng)險(xiǎn)中 重要等級(jí) 備注 1.2.51.2.51.2.51.2.5 SHG-Oracle-01-02-05SHG-Oracle-01-02-05SHG-Orac

29、le-01-02-05SHG-Oracle-01-02-05 編號(hào) SHG-Oracle-01-02-05 名稱修改默認(rèn)密碼 實(shí)施目的更改數(shù)據(jù)庫默認(rèn)帳號(hào)的密碼。 問題影響可能被破解密碼 系統(tǒng)當(dāng)前狀態(tài)詢問管理員賬號(hào)密碼,并記錄 實(shí)施步驟 參考配置操作參考配置操作 1. 可通過下面命令來更改默認(rèn)用戶的密碼： ALTER USER user_name IDENTIFIED BY passwd; 2. 下面是默認(rèn)用戶密碼列表： CTXSYS CTXSYS DBSNMP DBSNMP LBACSYS LBACSYS MDDATA MDDATA MDSYS MDSYS DMSYS DMSYS OLAPSY

30、S MANAGER ORDPLUGINS ORDPLUGINS ORDSYS ORDSYS OUTLN OUTLN SI_INFORMTN_SCHEMA SI_INFORMTN_SCHEMA SYS CHANGE_ON_INSTALL SYSMAN CHANGE_ON_INSTALL SYSTEM MANAGER 回退方案 ALTER USER user_name IDENTIFIED BY passwd; 判斷依據(jù) 判定條件判定條件 不能以用戶名作為密碼或使用默認(rèn)密碼的賬戶登陸到數(shù)據(jù) 庫。 檢測(cè)操作檢測(cè)操作 1. 以 DBA 用戶登陸到 sqlplus 中。 2. 檢查數(shù)據(jù)庫默認(rèn)賬戶是否使用

31、了用戶名作為密碼或默認(rèn) 密碼。 實(shí)施風(fēng)險(xiǎn)中 重要等級(jí) 備注 2 2 2 2 日志配置日志配置日志配置日志配置 2.1.12.1.12.1.12.1.1 SHG-Oracle-02-01-01SHG-Oracle-02-01-01SHG-Oracle-02-01-01SHG-Oracle-02-01-01 編號(hào) SHG-Oracle-02-01-01 名稱啟用日志記錄功能 實(shí)施目的 數(shù)據(jù)庫應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容 包括用戶登錄使用的賬號(hào)、登錄是否成功、登錄時(shí)間以及 遠(yuǎn)程登錄時(shí)用戶使用的 IP 地址。 問題影響無法對(duì)用戶的登陸進(jìn)行日志記錄 系統(tǒng)當(dāng)前狀態(tài) 實(shí)施步驟 create

32、table login_log - 登入登出信息表 ( session_id int not null, - sessionid login_on_time date, - 登入時(shí)間 login_off_time date, - 登出時(shí)間 user_in_db varchar2(30), - 登入的 db user machine varchar2(20), - 機(jī) 器名 ip_address varchar2(20), - ip 地 址 run_program varchar2(20) - 以何程序 登入 ); create or replace trigger login_on_info

33、- 記錄登入信息的觸發(fā)器 after logon on database Begin insert into login_log(session_id,login_on_time,login_of f_time,user_in_db,machine,ip_address,run_program ) select AUDSID,sysdate,null,sys.login_user,machine,SYS_CO NTEXT(USERENV,IP_ADDRESS),program from v$session where AUDSID = USERENV(SESSIONID); -當(dāng)前 SESSI

34、ON END; create or replace trigger login_off_info - 記錄登出信息的觸發(fā)器 before logoff on database Begin update login_log set login_off_time = sysdate where session_id = USERENV(SESSIONID); -當(dāng)前 SESSION exception when others then null; END; 回退方案 ALTER TRIGGER 名稱 DISABLE; drop trigger 名稱; 判斷依據(jù) 判定條件判定條件 登錄測(cè)試，檢查相關(guān)

35、信息是否被記錄 補(bǔ)充說明補(bǔ)充說明 觸發(fā)器與 AUDIT 會(huì)有相應(yīng)資源開消，請(qǐng)檢查系統(tǒng)資源是否 充足。特別是 RAC 環(huán)境，資源消耗較大。 實(shí)施風(fēng)險(xiǎn)低 重要等級(jí) 備注 2.1.22.1.22.1.22.1.2 SHG-Oracle-02-01-02SHG-Oracle-02-01-02SHG-Oracle-02-01-02SHG-Oracle-02-01-02 編號(hào) SHG-Oracle-02-01-02 名稱記錄用戶對(duì)設(shè)備的操作 實(shí)施目的數(shù)據(jù)庫應(yīng)配置日志功能，記錄用戶對(duì)數(shù)據(jù)庫的操作 問題影響無法對(duì)用戶的操作進(jìn)行日志記錄 系統(tǒng)當(dāng)前狀態(tài) 實(shí)施步驟 create table employees_lo

36、g( who varchar2(30), action varchar2(20); when date); create or replace trigger biud_employ_copy before insert or update or delete on employees_copy declare l_action employees_log.action%type; begin if inserting then l_action:=insert; elsif updating then l_action:=delete; elsif deleting then l_actio

37、n:=update; else raise_application_error(-2001,you shoule never ever get this error.); end if; insert into employees_log(who,action,when) values(user,l_action,sysdate); end biud_employ_copy; 回退方案 ALTER TRIGGER 名稱 DISABLE; drop trigger 名稱; 判斷依據(jù) 實(shí)施風(fēng)險(xiǎn)高 重要等級(jí) 備注 2.1.32.1.32.1.32.1.3 SHG-Oracle-02-01-03SHG

38、-Oracle-02-01-03SHG-Oracle-02-01-03SHG-Oracle-02-01-03 編號(hào) SHG-Oracle-02-01-03 名稱記錄系統(tǒng)安全事件 實(shí)施目的通過設(shè)置讓系統(tǒng)記錄安全事件，方便管理員分析 問題影響無法記錄系統(tǒng)的各種安全事件 系統(tǒng)當(dāng)前狀態(tài) 實(shí)施步驟 參考配置操作參考配置操作 create table jax_event_table(eventname varchar2(30),time date); create trigger tr_startup after startup ondatabase begin insertinto jax_event_

39、table values(ora_sysevent,sysdate); end; create trigger tr_shutdown beforeshutdownondatabase begin insertinto jax_event_table values(ora_sysevent,sysdate); end; 回退方案 ALTER TRIGGER 名稱 DISABLE; drop trigger 名稱; 判斷依據(jù)記錄系統(tǒng)安全事件 實(shí)施風(fēng)險(xiǎn)高 重要等級(jí) 備注 2.1.42.1.42.1.42.1.4 SHG-Oracle-02-01-04SHG-Oracle-02-01-04SHG-O

40、racle-02-01-04SHG-Oracle-02-01-04 編號(hào) SHG-Oracle-02-01-04 名稱數(shù)據(jù)庫審計(jì)策略 實(shí)施目的根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計(jì)策略 問題影響日志被刪除后無法恢復(fù)。 系統(tǒng)當(dāng)前狀態(tài) show parameter audit_sys_operations; show parameter audit_trail; 查看返回值,并記錄. 實(shí)施步驟 1 1、參考配置操作、參考配置操作 SQL alter system set audit_sys_operations=TRUE scope=spfile; SQL alter system set audit_tra

41、il=db scope=spfile; SQL show parameter audit; SQL audit all on table_name; 回退方案 noaudit all on table_name; 恢復(fù) audit_sys_operations, audit_trail 屬性 判斷依據(jù) 判定條件判定條件 對(duì)審計(jì)的對(duì)象進(jìn)行一次數(shù)據(jù)庫操作，檢查操作是否被記錄。 檢測(cè)操作檢測(cè)操作 1. 檢查初始化參數(shù) audit_trail 是否設(shè)置。 2. 檢查 dba_audit_trail 視圖中或 $ORACLE_BASE/admin/adump 目錄下是否有數(shù)據(jù)。 補(bǔ)充說明補(bǔ)充說明 AUD

42、IT 會(huì)有相應(yīng)資源開消，請(qǐng)檢查系統(tǒng)資源是否充足。特別 是 RAC 環(huán)境，資源消耗較大 實(shí)施風(fēng)險(xiǎn)低 重要等級(jí) 備注 3 3 3 3 通信協(xié)議通信協(xié)議通信協(xié)議通信協(xié)議 3.1.13.1.13.1.13.1.1 SHG-Oracle-03-01-01SHG-Oracle-03-01-01SHG-Oracle-03-01-01SHG-Oracle-03-01-01 編號(hào) SHG-Oracle-03-01-01 名稱信任 IP 連接監(jiān)聽器 實(shí)施目的設(shè)置只有信任的 IP 地址才能通過監(jiān)聽器訪問數(shù)據(jù)庫。 問題影響數(shù)據(jù)庫不安全 IP 訪問 系統(tǒng)當(dāng)前狀態(tài)查看$ORACLE_HOME/network/admin/

43、sqlnet.ora 實(shí)施步驟 參考配置操作參考配置操作 只需在服務(wù)器上的文件 $ORACLE_HOME/network/admin/sqlnet.ora 中設(shè)置以下行： tcp.validnode_checking = yes tcp.invited_nodes = (ip1,ip2) 回退方案 還原$ORACLE_HOME/network/admin/sqlnet.ora 文件 判斷依據(jù) 判定條件判定條件 在非信任的客戶端以數(shù)據(jù)庫賬戶登陸被提示拒絕。 檢測(cè)操作檢測(cè)操作 檢查$ORACLE_HOME/network/admin/sqlnet.ora 文件中是否 設(shè)置參數(shù) tcp.validn

44、ode_checking 和 tcp.invited_nodes。 實(shí)施風(fēng)險(xiǎn)高 重要等級(jí) 備注 3.1.23.1.23.1.23.1.2 SHG-Oracle-03-01-0SHG-Oracle-03-01-0SHG-Oracle-03-01-0SHG-Oracle-03-01-02 2 2 2 編號(hào) SHG-Oracle-03-01-02 名稱網(wǎng)絡(luò)數(shù)據(jù)傳輸安全 實(shí)施目的 使用 Oracle 提供的高級(jí)安全選件來加密客戶端與數(shù)據(jù)庫之 間或中間件與數(shù)據(jù)庫之間的網(wǎng)絡(luò)傳輸數(shù)據(jù) 問題影響數(shù)據(jù)傳輸?shù)牟话踩栽黾?系統(tǒng)當(dāng)前狀態(tài) 記錄檢查 $ORACLE_HOME/network/admin/sqlnet.ora 文件 實(shí)施步驟 參考配置操作參考配置操作 1. 在 Oracle Net Manager 中選擇“Oracle Advanced Security” 。 2. 然后選擇 Encryption。 3. 選擇 Client 或 Server 選項(xiàng)。 4. 選擇加密類型。 5. 輸入加密種子（可選） 。 6. 選擇加密算法（可選） 。 7. 保存網(wǎng)絡(luò)