中国移动Oracle数据库安全配置手册

中国移动Oracle数据库安全配置手册密级：文档编号：项目代号：中国移动Oracle数据库安全配置手册Version1.0中国移动通信有限公司二零零四年十一月中国移动Oracle数据库安全配置手册拟制:审核:批准:会签:标准化:中国移动Oracle数据库安全配置手册版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人，负责对本文档进行标准化审核4读取5读取中国移动Oracle数据库安全配置手册目录第一章目的与范围........................................................................................................................11.1目的........................................................................................................................................11.2适用范围.................................................................................................................................11.3数据库类型.............................................................................................................................1第二章数据库安全规范...............................................................................................................12.1操作系统安全........................................................................................................................12.2帐户安全................................................................................................................................22.3密码安全.................................................................................................................................22.4访问权限安全........................................................................................................................22.5日志记录................................................................................................................................32.6加密........................................................................................................................................32.7管理员客户端安全................................................................................................................32.8安全补丁................................................................................................................................32.9审计........................................................................................................................................3第三章数据库安全配置手册.......................................................................................................43.1ORACLE数据库安全配置方法...............................................................................................43.1.1基本漏洞加固方法.........................................................................................................43.1.2特定漏洞加固方法.......................................................................................................12第四章附录：数据库安全问题及解决方案.............................................................................174.1数据库安全问题..................................................................................................................174.1.1数据安全基本需求.......................................................................................................174.1.2数据安全风险...............................................................................................................194.1.3业界采用的安全技术...................................................................................................214.1.4Oracle9i的安全解决之道......................................................................................214.2ORACLE9I安全解决方案–提供端到端的安全体系结构................................................234.2.1Oracle9iDatabase安全机制.......................................................................................234.2.2托管环境的安全...........................................................................................................264.2.3网络中的安全——基于标准的公共密钥体系结构(PKI)........................................274.2.4先进的用户和安全策略管理.......................................................................................29中国移动Oracle数据库安全配置手册第1页共32页第一章目的与范围1.1目的为了加强中国移动集团下属各公司的网络系统安全管理，全面提高中国移动集团下属各公司业务网和办公网的网络安全水平，保证网络通信畅通和信息系统的正常运营，提高网络服务质量，特制定本方法。本文档旨在于规范中国移动集团下属各公司对Oracle数据库进行的安全加固。1.2适用范围本手册适用于对中国移动集团下属各公司业务网和办公网系统的数据库系统加固进行指导。1.3数据库类型数据库类型为Oracle9iEnterpriseEdition。第二章数据库安全规范2.1操作系统安全要使数据库安全，首先要使其所在的平台和网络安全。然后就要考虑操作系统的安全性。Oracle使用大量用户不需要直接访问的文件。例如，数据文件和联机重做日志文件只能通过Oracle的后台进程进行读写。因此，只有要创建和删除这些文件的数据库管理员才需要在操作系统级直接访问它们。导出转储文件和中国移动Oracle数据库安全配置手册第2页共32页其他备份文件也必须受到保护。可以把数据复制到其他数据库上，或者是作为复制模式的一部分，或者是提供一个开发数据库。若要保护数据的安全，就要对数据所驻留的每一个数据库及这些数据库的备份进行保护。如果某人能从含有你的数据备份的数据库中带走备份磁带，那么你在数据库中所做的全部保密工作就失去意义。必须防止对全部数据备份的非法访问。2.2帐户安全为了避免数据库帐户大量耗费系统资源，影响其它用户的正常访问，可以根据应用的实际需要，对数据库帐户所使用的资源（如CPU等）进行限制。这样可以控制恶意攻击者发起大量的连接及事务破坏数据库系统的正常运行，限制数据库帐户的系统资源可以用profile实施。此外，数据库创建后，会存在一些内建的帐户，这些帐户都有初始密码。出于安全的考虑，需要修改这些内建帐户的初始密码，防止恶意攻击者以众所周知的初始密码登录数据库。另外，对不使用的帐户应锁定，消除帐户安全隐患。2.3密码安全用户登录数据库的密码非常重要，一旦密码被窃听，数据库的安全就面临严重的威胁。从Oracle7.1开始，client远程连接数据库，OracleNet会自动对通过网络传输的登录密码进行加密，保证密码不被明文传输而被窃听。在Oracle7.1之前，可在sqlnet.ora中设置ora_encrypt_login=true。此外，对密码进行严格的管理。可以使用profile来管理口令的终止、重新使用和复杂性。例如，可以限制一个口令的寿命、锁定口令过旧的帐户等。也可以强制一个口令至少有一定程度的复杂性并锁定一个多次注册失败的帐户。这样可以有效地防止黒客猜测帐户口令，减少口令安全隐患。2.4访问权限安全对帐户的访问权限进行严格控制，给予帐户需要的最少权限，包括系统权限和对象权限。对象权限可以实施到数据库对象的字段级别。中国移动Oracle数