Oracle数据库配置..doc

目 录 1 概述 2 1.1 适用范围 2 2 ORACLE安全配置要求 2 2.1 账号 2 2.1.1 按用户分配帐号 2 2.1.2 删除或锁定无关帐号 3 2.1.3 限制SYSDBA用户的远程登录 3 2.1.4 用户权限最小化 4 2.1.5 使用ROLE管理对象的权限 5 2.1.6 控制用户属性 5 2.1.7 启用数据库字典保护 6 2.2 口令 7 2.2.1 静态口令认证的密码复杂度控制 7 2.2.2 静态口令认证的密码生命周期 7 2.2.3 静态口令认证的密码重复使用限制 8 2.2.4 景泰口令认证的连续登录失败的帐号锁定策略 8 2.2.5 更改数据库默认帐号的密码 9 2.2.6 操作系统级的帐户安全策略 10 2.3 日志 11 2.3.1 登录日志功能 11 2.3.2 DDL日志 12 2.3.3 数据库审记 12 2.4 其他 13 2.4.1 VPD与OLS 13 2.4.2 Data Vault 13 2.4.3 Listener设定密码保护 14 2.4.4 设定信任IP集 15 2.4.5 加密网络传输 15 2.4.6 断开超时的空闲远程连接 16 2.4.7 限制DBA组中的操作系统用户数量 17  概述 适用范围 本规范明确了Oracle数据库安全配置方面的基本要求。 ORACLE安全配置要求 本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。 本规范从ORACLE数据库的认证授权功能、安全日志功能，和其他自身安全配置功能提出安全要求。 账号 ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。 按用户分配帐号 要求内容 应按照用户分配账号，避免不同用户间共享账号。 操作指南 参考配置操作 create user abc1 identified by password1; create user abc2 identified by password2; 建立role，并给role授权，把role赋给不同的用户 补充操作说明 1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称； 检测方法 判定条件 不同名称的用户可以连接数据库 检测操作 connect abc1/password1连接数据库成功 5、补充说明 删除或锁定无关帐号 要求内容 应删除或锁定与数据库运行、维护等工作无关的账号。 操作指南 参考配置操作 alter user username lock; drop user username cascade; 补充操作说明 检测方法 判定条件 首先锁定不需要的用户 在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除 4、检测操作 5、补充说明 限制SYSDBA用户的远程登录 要求内容 限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。 操作指南 1、参考配置操作 1. 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。 2. 在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用 SYSDBA 角色的自动登录。 2、补充操作说明 检测方法 3、判定条件 1. 不能通过Sql*Net远程以SYSDBA用户连接到数据库。 2. 在数据库主机上以sqlplus ‘/as sysdba’连接到数据库需要输入口令。 4、检测操作 1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。 Show parameter REMOTE_LOGIN_PASSWORDFILE 4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。 5、补充说明 用户权限最小化 要求内容 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 操作指南 参考配置操作 grant　权限　to username; revoke 权限　from username; 补充操作说明 用第一条命令给用户赋相应的最小权限 用第二条命令收回用户多余的权限 检测方法 判定条件 业务测试正常 检测操作 业务测试正常 5、补充说明 使用ROLE管理对象的权限 要求内容 使用数据库角色（ROLE）来管理对象的权限。 操作指南 1