Oracle數(shù)據(jù)庫安全配置規(guī)范

Oracle數(shù)據(jù)庫安全配置規(guī)范概述目的本規(guī)范明確了oracle數(shù)據(jù)庫安全配置方面的基本要求。為了提高oracle數(shù)據(jù)庫的安全性而提出的。范圍本規(guī)范適用于XXXXX適用的oracle數(shù)據(jù)庫版本。配置標(biāo)準(zhǔn)賬號(hào)管理及認(rèn)證授權(quán)按照用戶分配賬號(hào)[目的]應(yīng)按照用戶分配賬號(hào)，避免不同用戶共享賬號(hào)。[具體配置]createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并給role授權(quán)，把role賦給不同的用戶刪除無關(guān)賬號(hào)。[檢測操作]刪除無用賬號(hào)[目的]應(yīng)刪除或鎖定與數(shù)據(jù)庫運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)。[具體配置]alteruserusernamelock;dropuserusernamecascade;[檢測操作]限制DBA遠(yuǎn)程登入[目的]限制具備數(shù)據(jù)庫超級(jí)管理員（SYSDBA）權(quán)限的用戶遠(yuǎn)程登錄。[具體配置]在spfile中設(shè)置REMOTE_LOGIN_PASSWORDFILE=NONE來禁止SYSDBA用戶從遠(yuǎn)程登陸。在sqlnet.ora中設(shè)置SQLNET.AUTHENTICATION_SERVICES=NONE來禁用SYSDBA角色的自動(dòng)登入。[檢測操作]以O(shè)racle用戶登入到系統(tǒng)中。以sqlplus‘/assysdba’登入到sqlplus環(huán)境中。使用showparameter命令來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE是否設(shè)置為NONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE檢查在$ORACLE_HOME/network/admin/sqlnet.ora文件參數(shù)SQLNET.AUTHENTICATION_SERVICES是否被設(shè)置成NONE.最小權(quán)限[目的]在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。[具體配置]！給用戶賦相應(yīng)的最小權(quán)限grant權(quán)限tousername;!收回用戶多余的權(quán)限r(nóng)evoke權(quán)限fromusername;[檢測操作]數(shù)據(jù)庫角色[目的]使用數(shù)據(jù)庫角色（ROLE）來管理對(duì)象的權(quán)限。[具體配置]使用CreateRole命令創(chuàng)建角色。使用Grant命令將相應(yīng)的系統(tǒng)、對(duì)象或Role的權(quán)限賦予應(yīng)用用戶。[檢測操作]以DBA用戶登入到sqlplus中。通過查詢dba_role_privs、dba_sys_privs和dba_tab_privs等視圖來檢查是否使用ROLE來管理對(duì)象權(quán)限。用戶屬性[目的]對(duì)用戶的屬性進(jìn)行控制，包括密碼策略、資源限制等。[具體配置]可通過下面類似命令來創(chuàng)建profile，并把它賦予一個(gè)用戶CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverity_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;!可通過設(shè)置profile來限制數(shù)據(jù)庫賬戶口令的復(fù)雜程度，口令生產(chǎn)周期和賬戶的鎖定方式等。！可通過設(shè)置profile來限制數(shù)據(jù)庫賬戶的CPU資源占用。[檢測操作]數(shù)據(jù)字典保護(hù)[目的]啟用數(shù)據(jù)字典保護(hù)，只有SYSDBA用戶才能訪問數(shù)據(jù)字典基礎(chǔ)表。[具體配置]通過設(shè)置下面初始化參數(shù)來限制只有SYSDBA權(quán)限的用戶才能訪問數(shù)據(jù)字典。O7_DICTIONARY_ACCESSIBILITY=FALSE[檢測操作]以普通dba用戶登入到數(shù)據(jù)庫，不能查看X$開頭的表，比如：select*fromsys,x$ksppi;1:以O(shè)racle用戶登入到系統(tǒng)中。2:以sqlplus‘／assysdba’登入到sqlplus環(huán)境中。3：使用showparameter命令來檢查參數(shù)O7_DICTIONARY_ACCESSIBILITY是否設(shè)置為FALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITYDBA組操作系統(tǒng)用戶數(shù)量[目的]限制在DBA組中的操作系統(tǒng)用戶數(shù)量，通常DBA組中只有Oracle安裝用戶。[具體配置]通過／etc／passwd文件來檢查是否有其它用戶在DBA組中。[檢測操作]無其它用戶屬于DBA組。或者通過／etc／passwd文件來檢查是否有其它用戶在DBA組中?？诹羁诹顝?fù)雜度[目的]對(duì)于采用靜態(tài)口令進(jìn)行認(rèn)證的數(shù)據(jù)庫，口令長度至少6位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類。[具體配置]為用戶建profile，調(diào)整PASSOWRD_VERIFY_FUNCTION,指定密碼復(fù)雜度[檢測操作]修改密碼為不符合要求的密碼，將失敗。Alteruserabcd1identifiedbyabcd1;將失敗口令期限[目的]對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫，賬戶口令的生存期不長于90天。[具體配置]為用戶建相關(guān)profile，指定PASSWORD_GRACE_TIME為90天。[檢測操作]到期不修改密碼，密碼將會(huì)失敗。連接數(shù)據(jù)庫將不會(huì)成功connectusername/password報(bào)錯(cuò)口令歷史[目的]對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫，應(yīng)配置數(shù)據(jù)庫，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)使用的口令。[具體配置]為用戶建profile，指定PASSWORD_REUSE_MAX為5[檢測操作]alteruserusernameidentifiedbypassword;如果password1在5次修改密碼內(nèi)被使用，改操作將不成功。失敗登錄次數(shù)[目的]對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號(hào)。[具體配置]為用戶建profile，指定FAILED_LOGIN_ATTEMPTS為6[檢測操作]connectusername/password,連續(xù)6次失敗，用戶被鎖定。連續(xù)6次用錯(cuò)誤的密碼連接用戶，第7次時(shí)用戶將被鎖定。默認(rèn)賬號(hào)的密碼[目的]更改數(shù)據(jù)庫默認(rèn)賬號(hào)的密碼。[具體配置]ALTERUSERXXXIDENTIFIEDBYXXX;下面是默認(rèn)用戶列表：ANONYMOUSCTXSYSDBSNMPDIPDMSYSEXFSYSHRLBACSYSMDDATAMDSYSMGMT_VIEWODMODM_MTROEOLAPSYSORDPLUGINSORDSYSOUTLNPMQSQS_ADMQS_CBQS_CBADMQS_CSQS_ESQS_OSQS_WSRMANSCOTTSHSI_INFORMTN_SCHEMASYSSYSMANSYSTEMTSMSYSWK_TESTWKPROXYWKSYSWMSYSXDB[檢測操作]不能以用戶名作為密碼或使用默認(rèn)密碼的賬戶登入到數(shù)據(jù)庫?；蛘咭訢BA用戶登入到sqlplus中。檢查數(shù)據(jù)庫默認(rèn)賬戶是否使用了用戶名作為密碼或默認(rèn)密碼。遵循操作系統(tǒng)賬號(hào)策略[目的]Oracle軟件賬戶的訪問控制可遵循操作系統(tǒng)賬戶的安全策略，比如不要共享賬戶、強(qiáng)制定期修改密碼、密碼需要有一定的復(fù)雜度等。[具體配置]使用操作系統(tǒng)以及的賬戶安全管理來保護(hù)Oracle軟件賬戶。[檢測操作]每3個(gè)月自動(dòng)提示更改密碼，過期后不能登入。每3個(gè)月強(qiáng)制修改Oracle軟件賬戶密碼，并且密碼需要滿足一定的復(fù)雜程度，符合操作系統(tǒng)的密碼需要。日志登錄日志[目的]數(shù)據(jù)庫應(yīng)配置日志功能，對(duì)用戶登入進(jìn)行記錄，記錄內(nèi)容包括用戶登入使用的賬號(hào)、登入是否成功、登入時(shí)間以及遠(yuǎn)程登入時(shí)使用的IP地址。[具體配置]創(chuàng)建ORACLE登入觸發(fā)器，記錄相關(guān)信息，但對(duì)IP地址的記錄會(huì)有困難建表LOGON_TABLE建觸發(fā)器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT(‘USERENV’,’SESSION_USER’),SYSDATE);END;觸發(fā)器與AUDIT會(huì)有相應(yīng)資源開消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。[檢測操作]操作日志[目的]數(shù)據(jù)庫應(yīng)該配置日志功能，記錄用戶對(duì)數(shù)據(jù)庫的操作，包括但不限于以下內(nèi)容：賬號(hào)創(chuàng)建、刪除和權(quán)限修改、口令修改、讀取和修改數(shù)據(jù)庫配置、讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號(hào)，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。[具體配置]創(chuàng)建ORACLE登入觸發(fā)器，記錄相關(guān)信息，但對(duì)IP地址的記錄會(huì)有苦難建表LOGON_TABLE建觸發(fā)器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT(‘USERENV’,’SESSIO_USER’),SYSDATE);END;#觸發(fā)器與AUDIT會(huì)有相應(yīng)資源開消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。[檢測操作]安全事件日志[目的]數(shù)據(jù)庫應(yīng)配置日志功能，記錄對(duì)與數(shù)據(jù)庫相關(guān)的安全事件。[具體配置]創(chuàng)建ORACLE登入觸發(fā)器，記錄相關(guān)信息，但對(duì)IP地址的記錄會(huì)有困難建表LOGON_TABlE建觸發(fā)器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT(‘USERENV’,’SESSION_USER’),SYSDATE);END;觸發(fā)器與AUDIT會(huì)有相應(yīng)的資源開消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。[檢測操作]數(shù)據(jù)庫審計(jì)策略[目的]根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計(jì)策略。[具體配置]通過設(shè)置參數(shù)audit_trail=db或os來打開數(shù)據(jù)庫審計(jì)。然后可以使用Audit命令對(duì)相應(yīng)的對(duì)象進(jìn)行審計(jì)設(shè)置。[檢測操作]對(duì)審計(jì)的對(duì)象進(jìn)行一次數(shù)據(jù)庫操作，檢查操作是否被記錄。檢查初始化參數(shù)audit_trail是否設(shè)置。檢查dba_audit_trail視圖中或$ORACLE_BASE/admin/adump目錄下是否有數(shù)據(jù)。AUDIT會(huì)有相應(yīng)資源開消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，資源消耗較大。其它數(shù)據(jù)庫交叉訪問[目的]使用Oracle提供的虛擬私有數(shù)據(jù)庫（VPD）和標(biāo)簽安全（OLS）來保護(hù)不同用戶之間的數(shù)據(jù)交叉訪問。[具體配置]在表上構(gòu)建VPD可以使用Oracle所提供的PL/SQL包DBMS_RLS控制整個(gè)VPD基礎(chǔ)架構(gòu)，具體設(shè)置方法較復(fù)雜，建議參考Oracle文檔進(jìn)行配置。Oracle標(biāo)簽安全（OLS）是在相關(guān)表上通過添加一個(gè)標(biāo)簽列來實(shí)現(xiàn)復(fù)雜的數(shù)據(jù)安全控制，具體細(xì)節(jié)請(qǐng)參考Oracle文檔。[檢測操作]通過視圖來檢查是否在數(shù)據(jù)庫對(duì)象設(shè)置了VPD和OLS。查詢視圖v$vpd_policy和dba_policies.限制DBA權(quán)限用戶訪問敏感數(shù)據(jù)[目的]使用Oracle提供的DataVault選件來限制有DBA權(quán)限的用戶訪問敏感數(shù)據(jù)。[具體配置]OracleDataVault是作為數(shù)據(jù)庫安全解決方案的一個(gè)單獨(dú)選件，主要功能是將數(shù)據(jù)庫管理帳戶的權(quán)限和應(yīng)用數(shù)據(jù)訪問的權(quán)限分開，DataVault可限制有DBA權(quán)限的用戶訪問敏感數(shù)據(jù)。設(shè)置比較復(fù)雜，具體細(xì)節(jié)請(qǐng)參考Oracle文檔。安全事件日志[檢測操作]以DBA用戶登入，不能查詢其它用戶下面的數(shù)據(jù)?；蛘?，在視圖dba_users中查詢是否存在dvsys用戶。在視圖dba_objects中檢查是否存在dbms_macadm對(duì)象。數(shù)據(jù)庫監(jiān)聽器[目的]為數(shù)據(jù)庫監(jiān)聽器（LISTENER）的關(guān)閉和啟動(dòng)設(shè)置密碼。[具體配置]通過下面命令設(shè)置密碼：$lsnrctlLSNRCTL>change_passwordOldpassword:<OldPassword>NotdisplayedNewpassword:<NewPassword>NotdisplayedReenternewpassword:<NewPassword>NotdisplayedConnectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT=1521)(IP=FIRST)))PasswordchangedforLISTENERThecommandcompletedsuccessfullyLSNRCTL>save_config[檢測操作]使用lsnrctlstart或lsnrctlstop命令起停listener需要密碼?；蛘邫z查$ORACLE_HOME/network/admin/listener.ora文件中是否設(shè)置參數(shù)PASSWORDS_LISTENER.訪問源限制[目的]設(shè)置只有信任的IP地址才能通過監(jiān)聽器訪問數(shù)據(jù)庫。[具體配置]只需要在服務(wù)器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中設(shè)置以下行：tcp.validonde_checking=yestcp