Oracle中國移动数据库安全配置规范.doc

目 录 1 概述 4 1.1 适用范围 4 1.2 内部适用性说明 4 1.3 外部引用说明 5 1.4 术语和定义 5 1.5 符号和缩略语 5 2 ORACLE安全配置要求 5 2.1 账号 6 2.2 口令 10 2.3 日志 14 2.4 其他 17  前 言 概述 适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的Oracle数据库。本规范明确了Oracle数据库安全配置方面的基本要求。 内部适用性说明 本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的Oracle数据库安全配置规范。以下分项列出本规范对《通用规范》设备配置要求的修订情况。 编号 采纳意见 补充说明 安全要求-设备-通用-配置-1-可选安全要求-设备-ORACLE-配置--可选安全要求-设备-通用-配置-2-可选安全要求-设备-ORACLE-配置--可选安全要求-设备-通用-配置-3-可选 安全要求-设备-通用-配置-4安全要求-设备-ORACLE-配置-安全要求-设备-通用-配置-5安全要求-设备-ORACLE-配置-安全要求-设备-通用-配置-6-可选安全要求-设备-ORACLE-配置--可选安全要求-设备-通用-配置-7-可选安全要求-设备-ORACLE-配置--可选安全要求-设备-通用-配置-9安全要求-设备-ORACLE-配置-安全要求-设备-通用-配置-12安全要求-设备-ORACLE-配置-安全要求-设备-通用-配置-13-可选安全要求-设备-ORACLE-配置-1-可选安全要求-设备-通用-配置-24-可选 安全要求-设备-ORACLE-配置-1-可选安全要求-设备-通用-配置-14-可选 安全要求-设备-通用-配置-16-可选 安全要求-设备-通用-配置-17-可选 安全要求-设备-通用-配置-19-可选 安全要求-设备-通用-配置-20-可选 安全要求-设备-ORACLE-配置-password1连接数据库成功 5、补充说明 编号：安全要求-设备-ORACLE-配置-2-可选 要求内容 应删除或锁定与数据库运行、维护等工作无关的账号。 操作指南 参考配置操作 alter user username lock; drop user username cascade; 补充操作说明 检测方法 判定条件 首先锁定不需要的用户 在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除 4、检测操作 5、补充说明 编号：安全要求-设备-ORACLE-配置-3REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。 2. 在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用 SYSDBA 角色的自动登录。 2、补充操作说明 检测方法 3、判定条件 1. 不能通过Sql*Net远程以SYSDBA用户连接到数据库。 2. 在数据库主机上以sqlplus ‘/as sysdba’连接到数据库需要输入口令。 4、检测操作 1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。 Show parameter REMOTE_LOGIN_PASSWORDFILE 4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。 5、补充说明 编号：安全要求-设备-ORACLE-配置-8 要求内容 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 操作指南 参考配置操作 grant　权限　to username; revoke 权限　from username; 补充操作说明 用第一条命令给用户赋相应的最小权限 用第二条命令收回用户多余的权限 检测方法 判定条件 业务测试正常 检测操作 业务测试正常 5、补充说明 编号：安全要求-设备-ORACLE-配置-9安全要求-设备-ORACLE-配置-10-可选CREATE PROFILE app_user2 LIMIT FAILED_LOGIN_ATTEMPTS 6 PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5