oracle數(shù)據(jù)庫(kù)系統(tǒng)加固規(guī)范[技術(shù)學(xué)習(xí)]

1、Oracle 數(shù)據(jù)庫(kù)系統(tǒng)加固規(guī)范2010 年 9 月互聯(lián)網(wǎng)絡(luò)3.1.1 SHG-Oracle-03-01-01 . 253.1.2 SHG-Oracle-03-01-02 . 264 設(shè)備其他安全要求 . 284.1.1 SHG-Oracle-04-01-01 . 284.1.2 SHG-Oracle-04-01-02 . 291賬號(hào)管理、認(rèn)證授權(quán)1.1 賬號(hào)1.1.1 SHG-Oracle-01-01-01編號(hào)SHG-Oracle-01-01-01名稱(chēng)為不同的管理員分配不同的賬號(hào)實(shí)施目的應(yīng)按照用戶分配賬號(hào)，避免不同用戶間共享賬號(hào),提高安全性。問(wèn)題影響賬號(hào)混淆，權(quán)限不明確，存在用戶越權(quán)使用的可

2、能。系統(tǒng)當(dāng)前狀態(tài)select * from all_users;select * from dba_users;記錄用戶列表實(shí)施步驟1、參考配置操作create user abc1 identified by password1;create user abc2 identified by password2;建立 role，并給 role 授權(quán)，把 role 賦給不同的用戶2、 補(bǔ)充操作說(shuō)明1、abc1 和 abc2 是兩個(gè)不同的賬號(hào)名稱(chēng)，可根據(jù)不同用戶， 取不同的名稱(chēng)；回退方案刪除用戶：例如創(chuàng)建了一個(gè)用戶 A，要?jiǎng)h除它可以這樣做connect sys/密碼 as sysdba;drop u

3、ser A cascade;/就這樣用戶就被刪除了判斷依據(jù)標(biāo)記用戶用途，定期建立用戶列表，比較是否有非法用戶實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注1.1.2 SHG-Oracle-01-01-02編號(hào)SHG-Oracle-01-01-02名稱(chēng)刪除或鎖定無(wú)效賬號(hào)實(shí)施目的刪除或鎖定無(wú)效的賬號(hào)，減少系統(tǒng)安全隱患。問(wèn)題影響允許非法利用系統(tǒng)默認(rèn)賬號(hào)系統(tǒng)當(dāng)前狀態(tài)select * from all_users;select * from dba_users;記錄用戶列表實(shí)施步驟1、參考配置操作alter user username lock;/鎖定用戶drop user username cascade;/刪除用戶回退方案

4、刪除新增加的帳戶判斷依據(jù)首先鎖定不需要的用戶 在經(jīng)過(guò)一段時(shí)間后，確認(rèn)該用戶對(duì)業(yè)務(wù)確無(wú)影響的情況下，可以刪除實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注1.1.3 SHG-Oracle-01-01-03編號(hào)SHG-Oracle-01-01-03名稱(chēng)限制超級(jí)管理員遠(yuǎn)程登錄實(shí)施目的限制具備數(shù)據(jù)庫(kù)超級(jí)管理員（SYSDBA）權(quán)限的用戶遠(yuǎn)程登錄。問(wèn)題影響允許數(shù)據(jù)庫(kù)超級(jí)管理員遠(yuǎn)程非法登陸系統(tǒng)當(dāng)前狀態(tài)查看 spfile,sqlnet.ora 內(nèi)容實(shí)施步驟1、參考配置操作在 spfile 中設(shè)置 REMOTE_LOGIN_PASSWORDFILE=NONE 來(lái)禁止 SYSDBA 用 戶 從 遠(yuǎn) 程 登 陸 。 在 sqlnet.or

5、a 中設(shè)置 SQLNET.AUTHENTICATION_SERVICES=NONE 來(lái)禁用 SYSDBA 角 色的自動(dòng)登錄?；赝朔桨高€原 spfile,sqlnet.ora 文件配置判斷依據(jù)判定條件1. 不能通過(guò) Sql*Net 遠(yuǎn)程以 SYSDBA 用戶連接到數(shù)據(jù)庫(kù)。2. 在數(shù)據(jù)庫(kù)主機(jī)上以 sqlplus /as sysdba連接到數(shù)據(jù)庫(kù)需要輸入口令。檢測(cè)操作1. 以 Oracle 用戶登陸到系統(tǒng)中。2. 以 sqlplus /as sysdba登陸到 sqlplus 環(huán)境中。3. 使 用 show parameter 命 令 來(lái) 檢 查 參 數(shù)REMOTE_LOGIN_PASSWORDFI

6、LE 是否設(shè)置為 NONE。Show parameter REMOTE_LOGIN_PASSWORDFILE4. 檢查在$ORACLE_HOME/network/admin/sqlnet.ora文件中參數(shù) SQLNET.AUTHENTICATION_SERVICES 是否被設(shè)置成 NONE。實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注1.1.4 SHG-Oracle-01-01-04編號(hào)SHG-Oracle-01-01-04名稱(chēng)權(quán)限最小化實(shí)施目的在數(shù)據(jù)庫(kù)權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。問(wèn)題影響賬號(hào)權(quán)限越大,對(duì)系統(tǒng)的威脅性越高系統(tǒng)當(dāng)前狀態(tài)select * from user_sys_priv

7、s; select * from user_role_privs; select * from user_tab_privs; 記錄用戶擁有權(quán)限實(shí)施步驟1、 參考配置操作grant 權(quán)限 to username;revoke 權(quán)限 from username;2、 補(bǔ)充操作說(shuō)明 用第一條命令給用戶賦相應(yīng)的最小權(quán)限用第二條命令收回用戶多余的權(quán)限回退方案還原添加或刪除的權(quán)限判斷依據(jù)業(yè)務(wù)測(cè)試正常實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注1.1.5 SHG-Oracle-01-01-05編號(hào)SHG-Oracle-01-01-05名稱(chēng)數(shù)據(jù)庫(kù)角色實(shí)施目的使用數(shù)據(jù)庫(kù)角色（ROLE）來(lái)管理對(duì)象的權(quán)限。問(wèn)題影響賬號(hào)管理混亂系統(tǒng)當(dāng)前

8、狀態(tài)select * from dba_role_privs;select * from user_role_privs;記錄用戶擁有的 role實(shí)施步驟一創(chuàng)建角色,修改角色1.創(chuàng)建角色，不指定密碼：create role testrole；2創(chuàng)建角色，指定密碼：create role testrole identified by passwd;3修改角色：alter role testrole identified by passwd;4. 給角色授予權(quán)限。Grant select on Table_name to testrole;把角色賦予用戶：（特別說(shuō)明，授予角色不是實(shí)時(shí)的。如下：）g

9、rant testrole to User_Name;二、起用角色：給用戶賦予角色，角色并不會(huì)立即起作用。1角色不能立即起作用。必須下次斷開(kāi)此次連接，下次連 接才能起作用。2. 或 者 執(zhí) 行 命 令 ： 有 密 碼 的 角 色 set role testrole identified by passwd 立即生效；3無(wú)密碼的角色：set role testrole；回退方案刪除相應(yīng)的 Rolerevoke role_name from user_name判斷依據(jù)對(duì)應(yīng)用用戶不要賦予 DBA Role 或不必要的權(quán)限實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注1.1.6 SHG-Oracle-01-01-06編號(hào)SH

10、G-Oracle-01-01-06名稱(chēng)用戶 profile實(shí)施目的對(duì)用戶的屬性進(jìn)行控制，包括密碼策略、資源限制等。問(wèn)題影響賬號(hào)安全性低.系統(tǒng)當(dāng)前狀態(tài)SELECT profile FROM dba_users WHEREusername=user_name;記錄用戶賦予的 profile實(shí)施步驟可通過(guò)下面類(lèi)似命令來(lái)創(chuàng)建 profile，并把它賦予一個(gè)用戶SQL show parameter resource_limit SQL alter system set resource_limit=true; CREATE PROFILE profile_name LIMITFAILED_LOGIN_A

11、TTEMPTS 6PASSWORD_LIFE_TIME 60PASSWORD_REUSE_TIME 60PASSWORD_REUSE_MAX 5PASSWORD_VERIFY_FUNCTION verify_functionPASSWORD_LOCK_TIME 1/24PASSWORD_GRACE_TIME 90;ALTER USER user_name PROFILE profile_name;回退方案alter user dinya profile default;恢復(fù)默認(rèn)判斷依據(jù)1. 可通過(guò)設(shè)置 profile 來(lái)限制數(shù)據(jù)庫(kù)賬戶口令的復(fù)雜程度， 口令生存周期和賬戶的鎖定方式等。2. 可通

12、過(guò)設(shè)置 profile 來(lái)限制數(shù)據(jù)庫(kù)賬戶的 CPU 資源占用。4、檢測(cè)操作1. 以 DBA 用戶登陸到 sqlplus 中。2. 查詢(xún)視圖 dba_profiles 和 dba_usres 來(lái)檢查 profile 是 否創(chuàng)建。實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注1.1.7 SHG-Oracle-01-01-07編號(hào) SHG-Oracle-01-01-07名稱(chēng)數(shù)據(jù)字典保護(hù)實(shí)施目的啟用數(shù)據(jù)字典保護(hù)，只有 SYSDBA 用戶才能訪問(wèn)數(shù)據(jù)字典基礎(chǔ)表。問(wèn)題影響數(shù)據(jù)庫(kù)安全性低.系統(tǒng)當(dāng)前狀態(tài)Show parameter O7_DICTIONARY_ACCESSIBILITY記錄當(dāng)前狀態(tài)實(shí)施步驟通過(guò)設(shè)置下面初始化參數(shù)來(lái)限制

13、只有 SYSDBA 權(quán)限的用戶才 能訪問(wèn)數(shù)據(jù)字典。alter system setO7_DICTIONARY_ACCESSIBILITY=FALSEscope=spfile;回退方案修改 O7_DICTIONARY_ACCESSIBILITY 為原來(lái)屬性判斷依據(jù)以普通用戶登陸到數(shù)據(jù)庫(kù)，不能查看 X$開(kāi)頭的表，比如：select * from sys. x$ksppi;檢測(cè)操作1. 以 Oracle 用戶登陸到系統(tǒng)中。2. 以 sqlplus /as sysdba登陸到 sqlplus 環(huán)境中。3. 使用 show parameter 命令來(lái)檢查參數(shù) O7_DICTIONARY_ACCESSIB

14、ILITY 是否設(shè)置為 FALSE。 Showparameter O7_DICTIONARY_ACCESSIBILITY實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注1.1.8 SHG-Oracle-01-01-08編號(hào)SHG-Oracle-01-01-08名稱(chēng)檢查 DBA 組用戶實(shí)施目的限制在 DBA 組中的操作系統(tǒng)用戶數(shù)量，通常 DBA 組中只有Oracle 安裝用戶。問(wèn)題影響影響組用戶管理系統(tǒng)當(dāng)前狀態(tài)Cat /etc/passwd實(shí)施步驟參考配置操作通過(guò)/etc/passwd 文件來(lái)檢查是否有其它用戶在 DBA 組中。 刪除用戶：#userdel username;鎖定用戶：1) 修改/etc/shadow 文

15、件，用戶名后加*LK*2) 將/etc/passwd 文件中的 shell 域設(shè)置成/bin/false3) #passwd -l username 只有具備超級(jí)用戶權(quán)限的使用者方可使用 ，#passwd -l username 鎖定用戶,用#passwd d username 解鎖后原有密 碼失效，登錄需輸入新密碼，修改/etc/shadow 能保留原有 密碼?；赝朔桨高€原/etc/passwd 文件判斷依據(jù)判定條件無(wú)其它用戶屬于 DBA 組。 檢測(cè)操作通過(guò)/etc/passwd 文件來(lái)檢查是否有其它用戶在 DBA 組中。實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注1.2 口令1.2.1 SHG-Oracle-0

16、1-02-01編號(hào)SHG-Oracle-01-02-01名稱(chēng)缺省密碼長(zhǎng)度復(fù)雜度限制實(shí)施目的對(duì)于采用靜態(tài)口令進(jìn)行認(rèn)證的數(shù)據(jù)庫(kù)，口令長(zhǎng)度至少 6 位， 并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào) 4 類(lèi)中至少 2類(lèi)。問(wèn)題影響增加密碼被暴力破解的成功率系統(tǒng)當(dāng)前狀態(tài)SELECT profile FROM dba_users WHERE username=user_name; 記錄用戶賦予的 profile實(shí)施步驟1、參考配置操作為用戶建 profile，調(diào)整 PASSWORD_VERIFY_FUNCTION，指定 密碼復(fù)雜度示例:SQLCREATE OR REPLACE FUNCTION my_pass

17、word_verify(username VARCHAR2 ,passwordVARCHAR2 ,old_password VARCHAR2 ) RETURN BOOLEANIS2 BEGIN3 IF LENGTH(password) create profile TEST_PROFILE limit2 password_verify_functionMY_PASSWORD_VERIFY;回退方案alter user user_name profile default;判斷依據(jù)1、 判定條件 修改密碼為不符合要求的密碼，將失敗2、 檢測(cè)操作alter user user_name identi

18、fied by passwd;將失敗實(shí)施風(fēng)險(xiǎn)低重要等級(jí)備注1.2.2 SHG-Oracle-01-02-02編號(hào) SHG-Oracle-01-02-02名稱(chēng)缺省密碼生存周期限制實(shí)施目的對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長(zhǎng)于 90 天，減少口令安全隱患。問(wèn)題影響密碼被非法利用，并且難以管理系統(tǒng)當(dāng)前狀態(tài)SELECT profile FROM dba_users WHEREusername=user_name; 記錄用戶賦予的 profile實(shí)施步驟1、 參考配置操作為用戶建相關(guān) profile，指定 PASSWORD_GRACE_TIME 為 90 天2、 補(bǔ)充操作說(shuō)明在 90 天

19、內(nèi)，需要修改密碼回退方案alter user user_name profile default;判斷依據(jù)3、 判定條件 到期不修改密碼，密碼將會(huì)失效。連接數(shù)據(jù)庫(kù)將不會(huì)成功4、 檢測(cè)操作connect username/password 報(bào)錯(cuò)實(shí)施風(fēng)險(xiǎn)低重要等級(jí)備注1.2.3 SHG-Oracle-01-02-03編號(hào)SHG-Oracle-01-02-03名稱(chēng)密碼重復(fù)使用限制實(shí)施目的對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近 5 次（含 5 次）內(nèi)已使用的口令。問(wèn)題影響密碼破解的幾率增加系統(tǒng)當(dāng)前狀態(tài)SELECT profile FROM dba_users WHEREus

20、ername=user_name; 記錄用戶賦予的 profile實(shí)施步驟1、 參考配置操作為用戶建 profile,指定 PASSWORD_REUSE_MAX 為2、 補(bǔ)充操作說(shuō)明 當(dāng)前使用的密碼，必需在密碼修改次后才能再次被使用回退方案alter user user_name profile default;判斷依據(jù)3、 判定條件 重用修改次內(nèi)的密碼，將不能成功4、 檢測(cè)操作alter user username identified by password1; 如果 password1 在次修改密碼內(nèi)被使用，該操作將不能成功實(shí)施風(fēng)險(xiǎn)低重要等級(jí)備注編號(hào)SHG-Oracle-01-02-04

21、名稱(chēng)密碼重試限制實(shí)施目的對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò) 6 次（不含 6 次），鎖定該用戶使用的賬號(hào)。問(wèn)題影響允許暴力破解密碼系統(tǒng)當(dāng)前狀態(tài)SELECT profile FROM dba_users WHEREusername=user_name; 記錄用戶賦予的 profile實(shí)施步驟1、 參考配置操作為用戶建 profile，指定 FAILED_LOGIN_ATTEMPTS 為2、 補(bǔ)充操作說(shuō)明 如果連續(xù)次連接該用戶不成功，用戶將被鎖定回退方案alter user user_name profile default;判斷依據(jù)3、 判定條件 連續(xù)次用錯(cuò)誤的密碼

22、連接用戶，第次時(shí)用戶將被鎖定4、 檢測(cè)操作connect username/password，連續(xù)次失敗，用戶被鎖定實(shí)施風(fēng)險(xiǎn)中重要等級(jí)備注編號(hào)SHG-Oracle-01-02-05名稱(chēng)修改默認(rèn)密碼實(shí)施目的更改數(shù)據(jù)庫(kù)默認(rèn)帳號(hào)的密碼。問(wèn)題影響可能被破解密碼系統(tǒng)當(dāng)前狀態(tài)詢(xún)問(wèn)管理員賬號(hào)密碼,并記錄實(shí)施步驟參考配置操作1. 可通過(guò)下面命令來(lái)更改默認(rèn)用戶的密碼：ALTER USER user_name IDENTIFIED BY passwd;2. 下面是默認(rèn)用戶密碼列表：CTXSYS CTXSYS DBSNMP DBSNMP LBACSYS LBACSYS MDDATA MDDATA MDSYS MDS

23、YS DMSYS DMSYS OLAPSYS MANAGERORDPLUGINS ORDPLUGINS ORDSYS ORDSYSOUTLN OUTLNSI_INFORMTN_SCHEMA SI_INFORMTN_SCHEMA SYS CHANGE_ON_INSTALLSYSMAN CHANGE_ON_INSTALLSYSTEM MANAGER回退方案ALTER USER user_name IDENTIFIED BY passwd;判斷依據(jù)判定條件 不能以用戶名作為密碼或使用默認(rèn)密碼的賬戶登陸到數(shù)據(jù) 庫(kù)。檢測(cè)操作1. 以 DBA 用戶登陸到 sqlplus 中。2. 檢查數(shù)據(jù)庫(kù)默認(rèn)賬戶是否使

24、用了用戶名作為密碼或默認(rèn) 密碼。實(shí)施風(fēng)險(xiǎn)中重要等級(jí)備注2日志配置2.1.1 SHG-Oracle-02-01-01編號(hào)SHG-Oracle-02-01-01名稱(chēng)啟用日志記錄功能實(shí)施目的數(shù)據(jù)庫(kù)應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包 括用戶登錄使用的賬號(hào)、登錄是否成功、登錄時(shí)間以及遠(yuǎn)程 登錄時(shí)用戶使用的 IP 地址。問(wèn)題影響無(wú)法對(duì)用戶的登陸進(jìn)行日志記錄系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟create table login_log -登入登出信息表(session_id int not null, - sessionidlogin_on_time date, -登入時(shí)間login_off_time dat

25、e, -登出時(shí)間user_in_db varchar2(30), -登入的 db usermachine varchar2(20), - 機(jī)器名ip_address varchar2(20), - ip 地址run_program varchar2(20) - 以何程序登入);create or replace trigger login_on_info- 記錄登入信息的觸發(fā)器 after logon on database Begininsert into login_log(session_id,login_on_time,login_off_time,user_in_db,machine

26、,ip_address,run_program)selectAUDSID,sysdate,null,sys.login_user,machine,SYS_CO NTEXT(USERENV,IP_ADDRESS),programfrom v$session where AUDSID = USERENV(SESSIONID); -當(dāng)前 SESSIONEND;create or replace trigger login_off_info -記錄登出信息的觸發(fā)器 before logoff on database Beginupdate login_log set login_off_time =s

27、ysdatewhere session_id = USERENV(SESSIONID);-當(dāng)前 SESSIONexceptionwhen others then null;END;回退方案ALTER TRIGGER 名稱(chēng) DISABLE;drop trigger 名稱(chēng);判斷依據(jù)判定條件 登錄測(cè)試，檢查相關(guān)信息是否被記錄 補(bǔ)充說(shuō)明觸發(fā)器與 AUDIT 會(huì)有相應(yīng)資源開(kāi)消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是 RAC 環(huán)境，資源消耗較大。實(shí)施風(fēng)險(xiǎn)低重要等級(jí)備注2.1.2 SHG-Oracle-02-01-02編號(hào)SHG-Oracle-02-01-02名稱(chēng)記錄用戶對(duì)設(shè)備的操作實(shí)施目的數(shù)據(jù)庫(kù)應(yīng)配置日志功能，記

28、錄用戶對(duì)數(shù)據(jù)庫(kù)的操作問(wèn)題影響無(wú)法對(duì)用戶的操作進(jìn)行日志記錄系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟create table employees_log( who varchar2(30), action varchar2(20); when date);create or replace trigger biud_employ_copy before insert or update or delete on employees_copydeclarel_action employees_log.action%type;beginif inserting then l_action:=insert;elsif up

29、dating thenl_action:=delete;elsif deleting then l_action:=update;elseraise_application_error(-2001,you shoule never ever get this error.);end if;insert into employees_log(who,action,when)values(user,l_action,sysdate);end biud_employ_copy;回退方案ALTER TRIGGER 名稱(chēng) DISABLE;drop trigger 名稱(chēng);判斷依據(jù)實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注2.

30、1.3 SHG-Oracle-02-01-03編號(hào)SHG-Oracle-02-01-03名稱(chēng)記錄系統(tǒng)安全事件實(shí)施目的通過(guò)設(shè)置讓系統(tǒng)記錄安全事件，方便管理員分析問(wèn)題影響無(wú)法記錄系統(tǒng)的各種安全事件系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟參考配置操作create table jax_event_table(eventname varchar2(30),time date);create trigger tr_startup after startup ondatabase begininsertinto jax_event_table values(ora_sysevent,sysdate); end;create t

31、rigger tr_shutdown beforeshutdownondatabase begininsertinto jax_event_table values(ora_sysevent,sysdate);end;回退方案ALTER TRIGGER 名稱(chēng) DISABLE;drop trigger 名稱(chēng);判斷依據(jù)記錄系統(tǒng)安全事件實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注2.1.4 SHG-Oracle-02-01-04編號(hào)SHG-Oracle-02-01-04名稱(chēng)數(shù)據(jù)庫(kù)審計(jì)策略實(shí)施目的根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫(kù)審計(jì)策略問(wèn)題影響日志被刪除后無(wú)法恢復(fù)。系統(tǒng)當(dāng)前狀態(tài)show parameter audit_sys_ope

32、rations; show parameter audit_trail; 查看返回值,并記錄.實(shí)施步驟1、參考配置操作SQL alter system set audit_sys_operations=TRUEscope=spfile;SQL alter system set audit_trail=db scope=spfile; SQL show parameter audit;SQL audit all on table_name;回退方案noaudit all on table_name;恢復(fù) audit_sys_operations, audit_trail 屬性判斷依據(jù)判定條件 對(duì)

33、審計(jì)的對(duì)象進(jìn)行一次數(shù)據(jù)庫(kù)操作，檢查操作是否被記錄。 檢測(cè)操作1. 檢查初始化參數(shù) audit_trail 是否設(shè)置。2. 檢 查 dba_audit_trail 視 圖 中 或$ORACLE_BASE/admin/adump 目錄下是否有數(shù)據(jù)。 補(bǔ)充說(shuō)明AUDIT 會(huì)有相應(yīng)資源開(kāi)消，請(qǐng)檢查系統(tǒng)資源是否充足。特別是 RAC 環(huán)境，資源消耗較大實(shí)施風(fēng)險(xiǎn)低重要等級(jí)備注3通信協(xié)議3.1.1 SHG-Oracle-03-01-01編號(hào)SHG-Oracle-03-01-01名稱(chēng)信任 IP 連接監(jiān)聽(tīng)器實(shí)施目的設(shè)置只有信任的 IP 地址才能通過(guò)監(jiān)聽(tīng)器訪問(wèn)數(shù)據(jù)庫(kù)。問(wèn)題影響數(shù)據(jù)庫(kù)不安全 IP 訪問(wèn)系統(tǒng)當(dāng)前狀態(tài)查看

34、$ORACLE_HOME/network/admin/sqlnet.ora實(shí)施步驟參考配置操作只 需 在 服 務(wù) 器 上 的 文 件$ORACLE_HOME/network/admin/sqlnet.ora 中設(shè)置以下行：tcp.validnode_checking = yes tcp.invited_nodes = (ip1,ip2)回退方案還原$ORACLE_HOME/network/admin/sqlnet.ora 文件判斷依據(jù)判定條件 在非信任的客戶端以數(shù)據(jù)庫(kù)賬戶登陸被提示拒絕。 檢測(cè)操作檢查$ORACLE_HOME/network/admin/sqlnet.ora 文件中是否 設(shè)置參

35、數(shù) tcp.validnode_checking 和 tcp.invited_nodes。實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注3.1.2 SHG-Oracle-03-01-02編號(hào)SHG-Oracle-03-01-02名稱(chēng)網(wǎng)絡(luò)數(shù)據(jù)傳輸安全實(shí)施目的使用 Oracle 提供的高級(jí)安全選件來(lái)加密客戶端與數(shù)據(jù)庫(kù)之 間或中間件與數(shù)據(jù)庫(kù)之間的網(wǎng)絡(luò)傳輸數(shù)據(jù)問(wèn)題影響數(shù)據(jù)傳輸?shù)牟话踩栽黾酉到y(tǒng)當(dāng)前狀態(tài)記錄檢查$ORACLE_HOME/network/admin/sqlnet.ora 文件實(shí)施步驟參考配置操作1. 在 Oracle Net Manager 中 選 擇 “ Oracle AdvancedSecurity”。2. 然后選擇 Encryption。3. 選擇 Client 或 Server 選項(xiàng)。4. 選擇加密類(lèi)型。5. 輸入加密種子（可選）。6. 選擇加密算法（可選）。7. 保存網(wǎng)絡(luò)配置，sqlnet.ora 被更新?；赝朔桨高€原$ORAC