Oracle数据库 配置基准v2概要1.doc

Oracle 数据库 配置基准 文档信息 密级分类 机密-内部 版本控制 版本 日期 更新说明 撰写人员 复核人员 V1 2006-04-29 王芳 王凡询 序号 控制区域 1 系统一般性设置 缺省帐号和密码更改 应该禁用软件自带的默认用户帐号，或修改该帐号名。如果必须保留默认用户帐号，其密码应根据公司制定的密码管理制度而更改。 若无业务要求，建议删除或更名默认帐号（诸如SCOTT等）；若有些帐号不能禁用或更名（如SYS,SYSTEM），设置复杂密码。 2 系统一般性设置 基于主机的认证 用户直接通过数据库而不是通过主机操作系统进行认证。 建议： Oracle帐号认证方式为‘database’. 3 配置设置 帐号锁定 用户帐号应该设置为若干次失败登陆尝试后自动锁定或禁用。 建议： 失败登陆尝试次数（FAILED_LOGIN_ATTEMPTS）设置为 3次 用户帐号锁定周期（PASSWORD_LOCK_TIME） 设置为5天； 4 配置设置 用户空闲对话（Idle_Session timeout） 不活动的已登陆帐号应该在一段时间后自动登出。 建议： 自动注销时间（IDLE_TIME）设置为15分。 连接应用程序的数据库帐号若不能达到上述要求， 必须保证帐号不能被未经授权人使用。 5 配置设置 密码构成 配置系统使其要求输入复杂密码（如希腊字母、数字键、大写字母及特殊字符）以减少密码被破解的可能性。此外，用户不要使用容易被猜中的密码（如字典中某词、用户名的改写、个人爱好等）。 建议： 启用函数VERIFY_FUNCTION 连接应用程序的数据库帐号若不能满足复杂密码的要求，必须保证帐号不能被未经授权人使用。 6 配置设置 密码过期 所有帐号密码都应该在规定周期内过期。 建议： 最长密码使用周期（PASSWORD_LIFE_TIME）设置为90天。 连接应用程序的数据库帐号若不能达到上述要求， 必须保证帐号不能被未经授权人使用。 7 配置设置 历史密码 应该设置系统对历史密码进行维护，并在规定时间内不允许重复使用历史密码。 建议： 将密码历史记录保存次数（PASSWORD_REUSE_MAX）设置为4，将密码历史纪录保存时间（PASSWORD_REUSE_TIME）设置为“unlimited”。 8 配置设置 密码要求 要求每个帐号都设立密码。 9 特权用户权限 Oracle数据文件访问许可 只有Oracle数据库拥有者能对Oracle数据文件有读/写权利。 建议： 对数据库数据文件的访问应该控制，只赋予授权人员 10 特权用户权限 数据库超级帐号的 数据库dba权限只能赋予授权人员 11 特权用户权限 限定角色功能 带有“插入”、“更新”或“删除”权限的角色创建时必须配有密码。 12 关键资源和程序安全 对于数据库服务工具的访问 对于强大的系统与数据库服务工具的访问要严格限定于那些确实有工作需要的用户。 建议： 对数据库的可执行文件或Oracle其他的工具的访问权限是经过授权的。 13 用户访问授权 对生产数据的访问 对于数据的“更新”“插入”“删除”权限只授予授权人员。 14 用户访问授权 临时帐号和第三方服务商帐号 临时帐号和第三方服务商帐号应该设置为在指定周期后过期或删除。 15 用户访问监控 开启审计日志 记录登陆日志 记录权限修改的日志 记录对数据库修改的日志 16 特权用户权限 审计表许可 对于审计表访问的许可严格限制在确实有此需要的帐号中。 17 职责分离 访问底层操作系统 只有系统管理员才能拥有在底层操作系统执行管理程序的权利。 18 职责分离 数据库管理的职责分离 数据库管理员与应用管理员的职责应进行分离。