Oracle数据库安全配置基线
目 录
第1章 概述........................................................1
1.1 目的 ........................................................ 1
1.2 适用范围 .................................................... 1
1.3 适用版本 .................................................... 1
第2章 账号........................................................1
2.1 账号安全 .................................................... 1
2.1.1 删除不必要账号 ........................................... 1 2.1.2 超级管理员远程登录 ................................... 2 2.1.3 用户属性控制 ............................................. 3 2.1.4 数据字典访问权限 ......................................... 3 第3章 口令........................................................4
3.1 口令安全 .................................................... 4
3.1.1 账户口令的生存期 ......................................... 4 3.1.2 重复口令使用 ............................................. 5
3.1.3 认证控制 ................................................. 6 3.1.4 更改默认帐户密码 ......................................... 7 3.1.5 密码更改策略 ............................................. 8 3.1.6 密码复杂度策略 ........................................... 8 第4章 日志........................................................9
4.1 日志审计 .................................................... 9
4.1.1 数据库审计策略 ........................................... 9 第5章 其他.......................................................11
5.1 其他配置 ................................................... 11
5.1.1 设置密码 .......................................... 11 5.1.2 加密数据 ................................................ 11 第6章 持续改进 ...................................................12
第1章 概述1.1 目的 本文规定了Oracle数据库应当遵循的安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行Oracle数据库的安全合规性检查和配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。 本配置标准适用的范围包括: Oracle数据库服务器。 1.3 适用版本 适用于Oracle 10g。 第2章 账号 2.1 账号安全 2.1.1 删除不必要账号 安全基线项目名称 数据库管理系统Oracle删除不必要帐号安全基线要求项 安全基线项说明 应删除或锁定与数据库运行、维护等工作无关的账号。 检测操作首先锁定不需要的用户 步骤 在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除。 基线符合性判定依据 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 备注 2.1.2 超级管理员远程登录 安全基线项目名称 数据库管理系统Oracle远程登录安全基线要求项 安全基线项说明 具备数据库超级管理员(SYSDBA)权限的用户远程登录。 检测操作步骤 1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE设置。 Show parameter REMOTE_LOGIN_PASSWORDFILE 4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置。 基线符合性判定依参数REMOTE_LOGIN_PASSWORDFILE设置为NONE; sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置成据 NONE。 备注 2.1.3 用户属性控制 安全基线项目名称 数据库管理系统Oracle用户属性控制策略安全基线要求项 安全基线项说明 对用户的属性进行控制,包括密码策略、资源等。 检测操作步骤 1. 以DBA用户登陆到sqlplus中; 2.查询视图dba_profiles和dba_usres来检查profile是否创建。 基线符合性判定依据 1.可通过设置profile来数据库账户口令的复杂程度,口令生存周期和账户的锁定方式等; 2.可通过设置profile来数据库账户的CPU资源占用。 备注 2.1.4 数据字典访问权限 安全基线数据库管理系统Oracle数据字典访问权限策略安全基线要求项 项目名称 安全基线项说明 启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。 检测操作步骤 1. 以Oracle用户登陆到系统中; 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中; 3. 使用show parameter命令检查参数O7_DICTIONARY_ACCESSIBILITY。 基线符合性判定依据 select VALUE from v$parameter where NAME='O7_DICTIONARY_ACCESSIBILITY'是否设置为FALSE 备注 第3章 口令 3.1 口令安全 3.1.1 账户口令的生存期 安全基线项目名称 数据库管理系统Oracle账户口令生存期安全基线要求项 安全基线在相应应用程序条件允许的情况下,对于采用静态口令认证技术的项说明 数据库,账户口令的生存期不长于90天。 检测操作步骤 1. 以Oracle用户登陆到系统中; 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中; 3. 执行select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users .profile and dba_users.account_status='OPEN' and resource_name='PASSWORD_GRACE_TIME' 基线符合性判定依据 查询结果中PASSWORD_GRACE_TIME小于等于90。 备注 3.1.2 重复口令使用 安全基线项目名称 数据库管理系统Oracle重复口令的使用策略安全基线要求项 安全基线对于采用静态口令认证技术的数据库,应配置数据库,使用户不能项说明 重复使用最近5次(含5次)内已使用的口令。 检测操作步骤 1. 以Oracle用户登陆到系统中; 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中; 3. 执行select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users .profile and dba_users.account_status='OPEN' and resource_name='PASSWORD_REUSE_MAX'。 基线符合性判定依据 查询结果中PASSWORD_REUSE_MAX大于等于5。 备注 3.1.3 认证控制 安全基线项目名称 数据库管理系统Oracle认证控制策略安全基线要求项 安全基线对于采用静态口令认证技术的数据库,应配置当用户连续认证失败项说明 次数超过6次(不含6次),锁定该用户使用的账号。 检测操作步骤 1. 以Oracle用户登陆到系统中; 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中; 3. 执行select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users .profile and dba_users.account_status='OPEN' and resource_name='FAILED_LOGIN_ATTEMPTS'。 基线符合性判定依据 查询结果中FAILED_LOGIN_ATTEMPTS等于6。 备注 3.1.4 更改默认帐户密码 安全基线项目名称 数据库管理系统Oracle默认账户口令策略安全基线要求项 安全基线项说明 更改数据库默认帐号的密码。 检测操作步骤 1. 以Oracle用户登陆到系统中; 2. 以system/system、system/manager 、sys/sys、sys/cHAnge_on_install 、scott/scott、scott/tiger、dbsnmp/dbsnmp 、rman/rman、xdb/xdb登陆sqlplus环境。 基线符合性判定依据 上述账户口令均不能成功登录。 备注 3.1.5 密码更改策略 安全基线项目名称 数据库管理系统Oracle密码更改策略安全基线要求项 安全基线Oracle软件账户的访问控制可遵循操作系统账户的安全策略,比如项说明 不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。 检测操作步骤 1. 以Oracle用户登陆到系统中; 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中; 3、执行select limit from dba_profiles where resource_name='PASSWORD_LIFE_TIME' and profile in (select profile from dba_users where account_status='OPEN')。 基线符合性判定依据 查询结果中PASSWORD_LIFE_TIME小于等于90。 备注 3.1.6 密码复杂度策略 安全基线项目名称 数据库管理系统Oracle密码复杂度策略安全基线要求项 安全基线对于采用静态口令进行认证的数据库,口令长度至少6位,并包括项说明 数字、小写字母、大写字母和特殊符号4类中至少2类。 检测操作步骤 1. 以Oracle用户登陆到系统中; 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中; 3、执行select limit from dba_profiles where resource_name='PASSWORD_VERIFY_FUNCTION' and profile in (select profile from dba_users where account_status='OPEN')。 基线符合性判定依据 为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复杂度 备注 第4章 日志 4.1 日志审计 4.1.1 数据库审计策略 安全基线项目名称 数据库管理系统Oracle数据审计策略安全基线要求项 安全基线项说明 根据业务要求制定数据库审计策略。 对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址; 用户对数据库的操作,包括但不限于以下内容:账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果; 记录对与数据库相关的安全事件。 检测操作步骤 1. 以Oracle用户登陆到系统中; 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中; 3. 使用show parameter命令来检查参数audit_trail是否设置; 4.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。 基线符合性判定依据 参数audit_trail不能设置为NONE。 备注 第5章 其他 5.1 其他配置 5.1.1 设置密码 安全基线项目名称 数据库管理系统Oracle安全基线要求项 安全基线项说明 为数据库(LISTENER)的关闭和启动设置密码。 检测操作步骤 检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDS_LISTENER。 基线符合性判定依要求正确设置参数PASSWORDS_LISTENER; 使用lsnrctl start或lsnrctl stop命令启停listener需要密码。 据 备注 5.1.2 加密数据 安全基线项目名称 数据库管理系统Oracle加密数据安全基线要求项 安全基线在相应应用程序条件许可的情况下,使用Oracle提供的高级安全项说明 选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据。 检测操作步骤 检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置sqlnet.encryption等参数 基线符合性判定依对重要的数据库系统,要求正确设置参数sqlnet.encryption; 通过网络层捕获的数据库传输包为加密包。 据 备注 第6章 持续改进 本文件由XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
