oracle數(shù)據(jù)庫系統(tǒng)加固規(guī)范

數(shù)據(jù)庫系統(tǒng)加固規(guī)范目錄賬號管理、認證授權(quán) 1賬號 11.1.1 SHG-Oracle-01-01-01 11.1.2 SHG-Oracle-01-01-02 21.1.3 SHG-Oracle-01-01-03 31.1.4 SHG-Oracle-01-01-04 41.1.5 SHG-Oracle-01-01-05 51.1.6 SHG-Oracle-01-01-06 71.1.7 SHG-Oracle-01-01-07 81.1.8 SHG-Oracle-01-01-08 101.2 口令 111.2.1 SHG-Oracle-01-02-01 11.2.2 SHG-Oracle-01-02-02 121.2.3 SHG-Oracle-01-02-03 141.2.4 SHG-Oracle-01-02-04 151.2.5 SHG-Oracle-01-02-05 16日志配置 182.1.1 SHG-Oracle-02-01-01 182.1.2 SHG-Oracle-02-01-02 212.1.3 SHG-Oracle-02-01-03 222.1.4 SHG-Oracle-02-01-04 24通信協(xié)議 253.1.1 SHG-Oracle-03-01-01 253.1.2 SHG-Oracle-03-01-02 26設(shè)備其他安全要求 284.1.1 SHG-Oracle-04-01-01 284.1.2 SHG-Oracle-04-01-02 29賬號管理、認證授權(quán)賬號編號SHG-Oracle-01-01-01名稱為不同的管理員分配不同的賬號編號SHG-Oracle-01-01-01名稱為不同的管理員分配不同的賬號實施目的性。問題影響賬號混淆，權(quán)限不明確，存在用戶越權(quán)使用的可能。系統(tǒng)當前狀態(tài)selectselect**fromfromall_users;dba_users;記錄用戶列表1、參考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;實施步驟role，rolerole21、abc1abc2是兩個不同的賬號名稱，可根據(jù)不同用戶，取不同的名稱；刪除用戶：例如創(chuàng)建了一個用戶A，要刪除它可以這樣做回退方案connectsys/密碼assysdba;dropuserAcascade;//就這樣用戶就被刪除了dropuserAcascade;//就這樣用戶就被刪除了判斷依據(jù)標記用戶用途，定期建立用戶列表，比較是否有非法用戶實施風(fēng)險高重要等級★★★備注編號SHG-Oracle-01-01-02名稱刪除或鎖定無效賬號實施目的刪除或鎖定無效的賬號，減少系統(tǒng)安全隱患。編號SHG-Oracle-01-01-02名稱刪除或鎖定無效賬號實施目的刪除或鎖定無效的賬號，減少系統(tǒng)安全隱患。問題影響允許非法利用系統(tǒng)默認賬號系統(tǒng)當前狀態(tài)selectselect**fromfromall_users;dba_users;記錄用戶列表1、參考配置操作alteruserusernamelock;//鎖定用戶實施步驟dropuserusernamecascade;//刪除用戶回退方案刪除新增加的帳戶首先鎖定不需要的用戶判斷依據(jù)在經(jīng)過一段時間后，確認該用戶對業(yè)務(wù)確無影響的情況下，可以刪除實施風(fēng)險實施風(fēng)險高重要等級★★★備注編號SHG-Oracle-01-01-03名稱限制超級管理員遠程登錄實施目的限制具備數(shù)據(jù)庫超級管理員（SYSDBA）權(quán)限的用戶遠程登編號SHG-Oracle-01-01-03名稱限制超級管理員遠程登錄實施目的限制具備數(shù)據(jù)庫超級管理員（SYSDBA）權(quán)限的用戶遠程登問題影響允許數(shù)據(jù)庫超級管理員遠程非法登陸系統(tǒng)當前狀態(tài)spfile,sqlnet.ora1、參考配置操作在spfileREMOTE_LOGIN_PASSWORDFILE=NONESYSDBAsqlnet.ora中設(shè)置實施步驟SQLNET.AUTHENTICATION_SERVICES=NONESYSDBA角色的自動登錄?；赝朔桨竤pfile,sqlnet.ora判定條件1.Sql*NetSYSDBA判斷依據(jù)2.sqlplus‘/assysdba’連接到數(shù)據(jù)庫需要輸入口令。檢測操作檢測操作1.Oracle2.sqlplus‘/assysdba’sqlplus3.使用showparameter命令來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILENONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.檢查在$ORACLE_HOME/network/admin/sqlnet.oraSQLNET.AUTHENTICATION_SERVICESNONE。實施風(fēng)險高重要等級★★★備注1.1.4SHG-Oracle-01-01-04編號名稱實施目的問題影響系統(tǒng)當前狀態(tài)

SHG-Oracle-01-01-04權(quán)限最小化在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。賬號權(quán)限越大,對系統(tǒng)的威脅性越高select*fromuser_sys_privs;select*fromuser_role_privs;select*fromuser_tab_privs;記錄用戶擁有權(quán)限11grant權(quán)限 tousername;revoke權(quán)限 fromusername;實施步驟2用第一條命令給用戶賦相應(yīng)的最小權(quán)限用第二條命令收回用戶多余的權(quán)限回退方案還原添加或刪除的權(quán)限判斷依據(jù)業(yè)務(wù)測試正常實施風(fēng)險高重要等級★備注1.1.5SHG-Oracle-01-01-05編號名稱實施目的問題影響

SHG-Oracle-01-01-05數(shù)據(jù)庫角色使用數(shù)據(jù)庫角色（ROLE）來管理對象的權(quán)限。賬號管理混亂select*fromdba_role_privs;系統(tǒng)當前狀態(tài) select*fromuser_role_privs;記錄用戶擁有的role一．創(chuàng)建角色,修改角色createroletestrole；2．創(chuàng)建角色，指定密碼：createroletestroleidentifiedbypasswd;3．修改角色：alterroletestroleidentifiedbypasswd;4.給角色授予權(quán)限。GrantselectonTable_nametotestrole;實施步驟

把角色賦予用戶（granttestroletoUser_Name;二、起用角色：給用戶賦予角色，角色并不會立即起作用。1．角色不能立即起作用。必須下次斷開此次連接，下次連接才能起作用?；蛘邎?zhí)行命令：有密碼的角色setroletestroleidentifiedbypasswd立即生效；3．無密碼的角色：setroletestrole；回退方案

刪除相應(yīng)的Rolerevoke role_name from user_name判斷依據(jù)判斷依據(jù)DBARole實施風(fēng)險高重要等級★備注編號SHG-Oracle-01-01-06名稱profile實施目的編號SHG-Oracle-01-01-06名稱profile實施目的對用戶的屬性進行控制，包括密碼策略、資源限制等。問題影響賬號安全性低.SELECTprofileFROMdba_usersWHERE系統(tǒng)當前狀態(tài)username=’user_name’profileprofile，并把它賦予一個用戶SQL>showparameterresource_limitSQL>altersystemsetresource_limit=true;實施步驟CREATEPROFILEprofile_nameLIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERuser_namePROFILEprofile_name;回退方案alteruserdinyaprofiledefault;恢復(fù)默認1.可通過設(shè)置profile口令生存周期和賬戶的鎖定方式等。2.可通過設(shè)置profileCPU判斷依據(jù)4、檢測操作1.DBAsqlplus2.查詢視圖dba_profilesdba_usresprofile否創(chuàng)建。實施風(fēng)險高重要等級★備注編號SHG-Oracle-01-01-071.1.7SHG-Oracle-01-01-07編號SHG-Oracle-01-01-07名稱實施目的問題影響

數(shù)據(jù)字典保護啟用數(shù)據(jù)字典保護，只有SYSDBA用戶才能訪問數(shù)據(jù)字典基礎(chǔ)表。數(shù)據(jù)庫安全性低.ShowparameterO7_DICTIONARY_ACCESSIBILITY系統(tǒng)當前狀態(tài) 記錄當前狀態(tài)通過設(shè)置下面初始化參數(shù)來限制只有SYSDBA權(quán)限的用戶才實施步驟

能訪問數(shù)據(jù)字典。alter

system setO7_DICTIONARY_ACCESSIBILITY=FALSEscope=spfile;回退方案 修改O7_DICTIONARY_ACCESSIBILITY為原來屬性X$select*fromsys.x$ksppi;檢測操作Oracle判斷依據(jù)

sqlplus‘/assysdba’sqlplusshowparameterFALSEShowparameterO7_DICTIONARY_ACCESSIBILITY實施風(fēng)險 高重要等級重要等級★備注編號SHG-Oracle-01-01-08名稱DBA編號SHG-Oracle-01-01-08名稱DBA實施目的DBADBAOracle安裝用戶。問題影響影響組用戶管理系統(tǒng)當前狀態(tài)Cat/etc/passwd參考配置操作通過/etc/passwdDBA實施步驟刪除用戶：#userdelusername;鎖定用戶：修改/etc/shadow*LK*將/etc/passwdshell/bin/false#passwd-lusername只有具備超級用戶權(quán)限的使用者方可使用，#passwd-lusername#passwd–dusername碼失效，登錄需輸入新密碼，修改/etc/shadow密碼。回退方案還原/etc/passwd判定條件判斷依據(jù)DBA檢測操作通過/etc/passwd通過/etc/passwdDBA實施風(fēng)險高重要等級★備注口令1.2.1SHG-Oracle-01-02-01編號 SHG-Oracle-01-02-01名稱 缺省密碼長度復(fù)雜度限制6實施目的 并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類。問題影響 增加密碼被暴力破解的成功率SELECTprofileFROMdba_users系統(tǒng)當前狀態(tài) username=’user_name’;1、參考配置操作為用戶建profile，調(diào)整PASSWORD_VERIFY_FUNCTION，指定密碼復(fù)雜度實施步驟 示例:SQL>CREATEORREPLACEFUNCTIONmy_password_verify(usernameVARCHAR2 ,passwordVARCHAR2 ,old_passwordVARCHAR2 )RETURNBOOLEANISBEGINIFLENGTH(password)<64raise_application_error(-20001,''Passwordmustbeatleast6characterslong'');ENDIF;RETURN(TRUE);END;SQL>createprofileTEST_PROFILElimit2 MY_PASSWORD_VERIFY;回退方案 alteruseruser_nameprofiledefault;1、判定條件修改密碼為不符合要求的密碼，將失敗判斷依據(jù) 2、檢測操作alteruseruser_nameidentifiedbypasswd;將失敗實施風(fēng)險重要等級備注

低★★★編號SHG-Oracle-01-02-021.2.2SHG-Oracle-01-02-02編號SHG-Oracle-01-02-02名稱名稱缺省密碼生存周期限制實施目的對于采用靜態(tài)口令認證技術(shù)的設(shè)備，帳戶口令的生存期不長于90天，減少口令安全隱患。問題影響密碼被非法利用，并且難以管理SELECTprofileFROMdba_usersWHERE系統(tǒng)當前狀態(tài)username=’user_name’;記錄用戶賦予的profile1PASSWORD_GRACE_TIME90實施步驟290回退方案alteruseruser_nameprofiledefault;3到期不修改密碼，密碼將會失效。連接數(shù)據(jù)庫將不會成功判斷依據(jù)4connectusername/password實施風(fēng)險低重要等級★★★備注1.2.3SHG-Oracle-01-02-03編號名稱實施目的問題影響

SHG-Oracle-01-02-03密碼重復(fù)使用限制對于采用靜態(tài)口令認證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。密碼破解的幾率增加SELECT profile FROM dba_users WHERE系統(tǒng)當前狀態(tài) username=’user_name’;1實施步驟

為用戶建profile,指定PASSWORD_REUSE_MAX為５2、補充操作說明當前使用的密碼，必需在密碼修改５次后才能再次被使回退方案 alteruseruser_nameprofiledefault;3、判定條件重用修改５次內(nèi)的密碼，將不能成功判斷依據(jù)實施風(fēng)險重要等級備注

4、檢測操作alteruserusernameidentifiedbypassword1;password1低★1.2.4SHG-Oracle-01-02-04編號名稱實施目的問題影響

SHG-Oracle-01-02-04密碼重試限制6（6，鎖定該用戶使用的賬號。允許暴力破解密碼SELECT profile FROM dba_users WHERE系統(tǒng)當前狀態(tài) username=’user_name’;1實施步驟

為用戶建profile，指定FAILED_LOGIN_ATTEMPTS為６2、補充操作說明如果連續(xù)６次連接該用戶不成功，用戶將被鎖回退方案 alteruseruser_nameprofiledefault;3、判定條件連續(xù)６次用錯誤的密碼連接用戶，第７次時用戶將被鎖定判斷依據(jù) 4、檢測操作connectusername/password，連續(xù)６次失敗，用戶被鎖定實施風(fēng)險 中重要等級 備注編號SHG-Oracle-01-02-05名稱修改默認密碼實施目的更改數(shù)據(jù)庫默認帳號的密碼。編號SHG-Oracle-01-02-05名稱修改默認密碼實施目的更改數(shù)據(jù)庫默認帳號的密碼。問題影響可能被破解密碼系統(tǒng)當前狀態(tài)詢問管理員賬號密碼,并記錄參考配置操作1.可通過下面命令來更改默認用戶的密碼：ALTERUSERuser_nameIDENTIFIEDBYpasswd;2.下面是默認用戶密碼列表：CTXSYSCTXSYSDBSNMPDBSNMPLBACSYSLBACSYS實施步驟MDDATAMDDATAMDSYS MDSYSDMSYS DMSYSOLAPSYSMANAGERORDPLUGINSORDPLUGINSORDSYSORDSYSOUTLNOUTLNSI_INFORMTN_SCHEMASI_INFORMTN_SCHEMASI_INFORMTN_SCHEMASI_INFORMTN_SCHEMASYSCHANGE_ON_INSTALLSYSMANCHANGE_ON_INSTALLSYSTEMMANAGER回退方案ALTERUSERuser_nameIDENTIFIEDBYpasswd;判定條件不能以用戶名作為密碼或使用默認密碼的賬戶登陸到數(shù)據(jù)庫。檢測操作判斷依據(jù)1.DBAsqlplus2.檢查數(shù)據(jù)庫默認賬戶是否使用了用戶名作為密碼或默認密碼。實施風(fēng)險中重要等級★備注日志配置編號SHG-Oracle-02-01-01名稱啟用日志記錄功能實施目的數(shù)據(jù)庫應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包編號SHG-Oracle-02-01-01名稱啟用日志記錄功能實施目的數(shù)據(jù)庫應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP地址。問題影響無法對用戶的登陸進行日志記錄系統(tǒng)當前狀態(tài)createtablelogin_log--登入登出信息表(session_idintnotnull,--sessionidlogin_on_timedate,--實施步驟登入時間login_off_timedate,--登出時間user_in_dbvarchar2(30),--dbusermachinevarchar2(20),--機器名ip_addressvarchar2(20),--ip地址run_programvarchar2(20) --以何程序登入);create or replace triggerlogin_on_info--記錄登入信息的觸發(fā)器afterlogonondatabaseBegininsert intologin_log(session_id,login_on_time,login_off_time,user_in_db,machine,ip_address,run_program)selectAUDSID,sysdate,null,sys.login_user,machine,SYS_CONTEXT('USERENV','IP_ADDRESS'),programfrom v$session where AUDSID =USERENV('SESSIONID'); END;createorreplacetriggerlogin_off_info --記錄登出信息的觸發(fā)器beforelogoffondatabaseBeginupdatelogin_logset login_off_time=sysdatewheresession_id=USERENV('SESSIONID');--當前SESSIONexceptionwhenothersthennull;END;ALTERTRIGGER名稱DISABLE;回退方案 droptrigger名稱;判定條件判斷依據(jù)

登錄測試，檢查相關(guān)信息是否被記錄補充說明AUDITRAC實施風(fēng)險重要等級備注

低★★★編號SHG-Oracle-02-01-02名稱記錄用戶對設(shè)備的操作實施目的數(shù)據(jù)庫應(yīng)配置日志功能，記錄用戶對數(shù)據(jù)庫的操作編號SHG-Oracle-02-01-02名稱記錄用戶對設(shè)備的操作實施目的數(shù)據(jù)庫應(yīng)配置日志功能，記錄用戶對數(shù)據(jù)庫的操作問題影響無法對用戶的操作進行日志記錄系統(tǒng)當前狀態(tài)createtableemployees_log(whovarchar2(30),actionvarchar2(20));whendate);createorreplacetriggerbiud_employ_copybeforeinsertorupdateordeleteonemployees_copy實施步驟declarel_actionemployees_log.action%type;beginifinsertingthenl_action:='insert';elsifupdatingthenl_action:='delete';elsifelsifdeletingthenl_action:='update';elseraise_application_error(-2001,'youshouleneverevergetthiserror.');endif;insertintoemployees_log(who,action,when)values(user,l_action,sysdate);endbiud_employ_copy;回退方案ALTERTRIGGER名稱DISABLE;droptrigger名稱;判斷依據(jù)實施風(fēng)險高重要等級★備注編號SHG-Oracle-02-01-03名稱記錄系統(tǒng)安全事件2.1.3編號SHG-Oracle-02-01-03名稱記錄系統(tǒng)安全事件實施目的問題影響系統(tǒng)當前狀態(tài)

通過設(shè)置讓系統(tǒng)記錄安全事件，方便管理員分析無法記錄系統(tǒng)的各種安全事件參考配置操作createtablejax_event_table(eventnamevarchar2(30),timedate);createtriggertr_startupafterstartupondatabasebegininsertintojax_event_table實施步驟 end;createtriggertr_shutdownbeforeshutdownondatabasebegininsertintojax_event_tablevalues(ora_sysevent,sysdate);end;ALTERTRIGGER名稱DISABLE;回退方案 droptrigger名稱;判斷依據(jù)實施風(fēng)險

記錄系統(tǒng)安全事件高重要等級重要等級★備注編號SHG-Oracle-02-01-04名稱數(shù)據(jù)庫審計策略實施目的根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計策略編號SHG-Oracle-02-01-04名稱數(shù)據(jù)庫審計策略實施目的根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計策略問題影響日志被刪除后無法恢復(fù)。系統(tǒng)當前狀態(tài)showparameteraudit_sys_operations;showparameteraudit_trail;查看返回值,并記錄.1、參考配置操作SQL>altersystemsetaudit_sys_operations=TRUEscope=spfile;實施步驟SQL>altersystemsetaudit_trail=dbscope=spfile;SQL>showparameteraudit;SQL>auditallontable_name;回退方案noauditallontable_name;audit_sys_operations,audit_trail判定條件對審計的對象進行一次數(shù)據(jù)庫操作，檢查操作是否被記錄。判斷依據(jù)檢測操作1.audit_trail2.2.檢查dba_audit_trail視圖中或$ORACLE_BASE/admin/adump補充說明AUDIT是RAC環(huán)境，資源消耗較大實施風(fēng)險低重要等級★備注通信協(xié)議編號SHG-Oracle-03-01-01名稱IP編號SHG-Oracle-03-01-01名稱IP實施目的IP問題影響IP系統(tǒng)當前狀態(tài)查看$ORACLE_HOME/network/admin/sqlnet.ora參考配置操作只需在服務(wù)器上的文件實施步驟$ORACLE_HOME/network/admin/sqlnet.oratcp.validnode_checking=yestcp.invited_nodes=(ip1,ip2…)回退方案回退方案還原$ORACLE_HOME/network/admin/sqlnet.ora判定條件在非信任的客戶端以數(shù)據(jù)庫賬戶登陸被提示拒絕。檢測操作判斷依據(jù)檢查$ORACLE_HOME/network/admin/sqlnet.oratcp.validnode_checkingtcp.invited_nodes。實施風(fēng)險高重要等級★★備注3.1.2SHG-Oracle-03-01-02編號名稱實施目的問題影響系統(tǒng)當前狀態(tài)

SHG-Oracle-03-01-02網(wǎng)絡(luò)數(shù)據(jù)傳輸安全使用Oracle提供的高級安全選件來加密客戶端與數(shù)據(jù)庫之間或中間件與數(shù)據(jù)庫之間的網(wǎng)絡(luò)傳輸數(shù)據(jù)數(shù)據(jù)傳輸?shù)牟话踩栽黾佑涗洐z查$ORACLE_HOME/network/admin/sqlnet.ora文件參考配置操作在OracleNetManager中選擇“OracleAdvancedSecurityEncryption。實施步驟

ClientServer選擇加密類型。輸入加密種子（可選。選擇加密算法（可選。保存