ORACLE安全配置基线V1.0.docVIP

第 PAGE 3 页 共 NUMPAGES 10 页 ORACLE安全配置基线 目 录 TOC \o 1-2 \h \z \u 第1章 概述 4 1.1 目的 4 1.2 适用范围 4 第2章 帐号安全 4 2.1 删除不必要帐号 4 2.2 限制超级管理员远程登录 5 2.3 数据字典访问权限 5 2.4 TNS登录IP限制 6 第3章 口令要求 6 3.1 重复口令使用 6 3.2 口令更改策略 7 3.3 口令复杂度策略 7 3.4 帐号口令的生存期 8 第4章 登录管理 8 4.1 认证控制 8 4.2 断开超时的空闲远程连接 9 第5章 其他配置 9 5.1 设置监听器密码 9 5.2 加密数据 10 5.3 数据库审计策略 10  概述 目的 本基线依据信息系统安全配置基线技术规范的要求，旨在指导安全管理人员或安全检查人员进行ORACLE数据库的安全配置，提高相关系统的安全防护能力。 适用范围 本基线适用于工程中所使用的ORACLE数据库。 本基线的使用者包括服务器系统管理员、应用管理员、网络安全管理员。 帐号安全 删除不必要帐号 安全基线项目名称 数据库管理系统Oracle删除不必要帐号安全基线要求项 安全基线编号 数据库系统安全配置技术要求-1 安全基线项说明 应删除或锁定与数据库运行、维护等工作无关的帐号。 检测操作步骤 首先锁定不需要的用户 在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除。 基线符合性 判定依据 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的帐号。 加固方案 数据库管理员列出所需的生产、运维账号列表 查看当前用户账号列表 SELECT * from all_users; SELECT * from dba_users; 将返回结果不必需的账号列表对比，如发现无关账号，表明不符合安全要求。 根据列表只保留必需账号，结合实际情况锁定（或删除）无关账号。 锁定账号：alter user username account lock; 删除账号：drop user username cascade; 风险等级 高 备注 限制超级管理员远程登录 安全基线项目名称 数据库管理系统Oracle限制超级管理员远程登录安全基线要求项 安全基线编号 数据库系统安全配置技术要求-2 安全基线项说明 限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。 检测操作步骤 以Oracle用户登陆到系统中。 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 使用show parameter命令来检查参数 基线符合性 判定依据 REMOTE_LOGIN_PASSWORDFILE是否设置为 NONE。 Show parameter REMOTE_LOGIN_PASSWORDFILE 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否设置为 NONE。 加固方案 参数REMOTE_LOGIN_PASSWORDFILE设置为NONE; （限制远程登录） sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES设置成NONE;（限制本地帐号权限登录） 风险等级 中 备注 例外： 若存在rman备份，有从远程发起的备份，比如：connect sys/@crmdb11 as sysdba 需重点确认是否有影响。 数据字典访问权限 安全基线项目名称 数据库管理系统Oracle数据字典访问权限安全基线要求项 安全基线编号 数据库系统安全配置技术要求-3 安全基线项说明 启用数据字典保护，只有SYSDBA权限用户才能访问数据字典基础表。 检测操作步骤 以Oracle用户登陆到系统中。 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 使用show parameter命令来检查参数O7_DICTIONARY_ACCESSIBILITYE Show parameter O7_DICTIONARY_ACCESSIBILITY 基线符合性 判定依据 参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE O7_DICTIONARY_ACCESSIBILITY = FALSE则表明符合安全要求。 加固方案 参数O7_DICTIONARY_ACCESSIBILITY设置为FALSE 风险等级 中 备注 TNS登录IP限制 安全基线项目名称 数据库管理系统Orac