Oracle数据库安全配置规范

Oracle数据库安全配置规范Oracle数据库安全配置规范Page1of111.概述1.1.目的本规范明确了Oracle数据库安全配置方面的基本要求。为了提高Oracle数据库的安全性而提出的。1.2.范围本规范适用于XXXX使用的Oracle数据库版本。Oracle数据库安全配置规范Page2of112.配置标准2.1.帐号管理及认证授权2.1.1.按照用户分配帐号【目的】应按照用户分配账号，避免不同用户间共享账号。【具体配置】createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并给role授权，把role赋给不同的用户删除无关帐号2.1.2.删除无用帐号【目的】应删除或锁定与数据库运行、维护等工作无关的账号。【具体配置】alteruserusernamelock;dropuserusernamecascade;2.1.3.限制DBA远程登录【目的】限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。【具体配置】1.在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。2.在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。【检测操作】1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。Oracle数据库安全配置规范Page3of112.1.4.最小权限【目的】在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。【具体配置】！给用户赋相应的最小权限grant权限tousername;！收回用户多余的权限revoke权限fromusername;2.1.5.数据库角色【目的】使用数据库角色（ROLE）来管理对象的权限。【具体配置】1.使用CreateRole命令创建角色。2.使用用Grant命令将相应的系统、对象或Role的权限赋予应用用户。【检测操作】1.以DBA用户登陆到sqlplus中。2.通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。2.1.6.用户属性【目的】对用户的属性进行控制，包括密码策略、资源限制等。【具体配置】可通过下面类似命令来创建profile，并把它赋予一个用户CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;！可通过设置profile来限制数据库账户口令的复杂程度，口令生存周期和账户的锁定方式等。！可通过设置profile来限制数据库账户的CPU资源占用。Oracle数据库安全配置规范Page4of112.1.7.数据字典保护【目的】启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。【具体配置】通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。O7_DICTIONARY_ACCESSIBILITY=FALSE【检测操作】以普通dba用户登陆到数据库，不能查看X$开头的表，比如：select*fromsys.x$ksppi;1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.使用showparameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY2.1.8.DBA组操作系统用户数量【目的】限制在DBA组中的操作系统用户数量，通常DBA组中只有Oracle安装用户。【具体配置】通过/etc/passwd文件来检查是否有其它用户在DBA组中。【检测操作】无其它用户属于DBA组。或者通过/etc/passwd文件来检查是否有其它用户在DBA组中。2.2.口令2.2.1.口令复杂度【目的】对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。【具体配置】为用户建profile，调整PASSWORD_VERIFY_FUNCTION，指定密码复杂度【检测操作】修改密码为不符合要求的密码，将失败Oracle数据库安全配置规范Page5of11alteruserabcd1identifiedbyabcd1;将失败2.2.2.口令期限【目的】对于采用静态口令认证技术的数据库，账户口令的生存期不长于90天。【具体配置】为用户建相关profile，指定PASSWORD_GRACE_TIME为90天【检测操作】到期不修改密码，密码将会失效。连接数据库将不会成功connectusername/password报错2.2.3.口令历史【目的】对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用最近5次（含5次）内已使用的口令。【具体配置】为用户建profile,指定PASSWORD_REUSE_MAX为５【检测操作】alteruserusernameidentifiedbypassword1;如果password1在５次修改密码内被使用，该操作将不能成功2.2.4.失败登录次数【目的】对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。【具体配置】为用户建profile，指定FAILED_LOGIN_ATTEMPTS为６【检测操作】connectusername/password，连续６次失败，用户被锁定连续６次用错误的密码连接用户，第７次时用户将被锁定2.2.5.默认帐号的密码【目的】更改数据库默认帐号的密码。【具体配置】Oracle数据库安全配置规范Page6of11ALTERUSERXXXIDENTIFIEDBYXXX;下面是默认用户列表：ANONYMOUSCTXSYSDBSNMPDIPDMSYSEXFSYSHRLBACSYSMDDATAMDSYSMGMT_VIEWODMODM_MTROEOLAPSYSORDPLUGINSORDSYSOUTLNPMQSQS_ADMQS_CBQS_CBADMQS_CSQS_ESQS_OSQS_WSRMANSCOTTSHSI_INFORMTN_SCHEMASYSSYSMANSYSTEMTSMSYSWK_TESTWKPROXYWKSYSWMSYSXDB【检测操作】不能以用户名作为密码或使用默认密码的账户登陆到数据库。或者1.以DBA用户登陆到sqlplus中。2.检查数据库默认账户是否使用了用户名作为密码或默认密码。Oracle数据库安全配置规范Page7of112.2.6.遵循操作系统帐号策略【目的】Oracle软件账户的访问控制可遵循操作系统账户的安全策略，比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。【具体配置】使用操作系统一级的账户安全管理来保护Oracle软件账户。【检测操作】每3个月自动提示更改密码，过期后不能登陆。每3个月强制修改Oracle软件账户密码，并且密码需要满足一定的复杂程度，符合操作系统的密码要求。2.3.日志2.3.1.登录日志【目的】数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。【具体配置】创建ORACLE登录触发器，记录相关信息，但对IP地址的记录会有困难1.建表LOGON_TABLE2.建触发器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT('USERENV','SESSION_USER'),SYSDATE);END;触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。2.3.2.操作日志【目的】数据库应配置日志功能，记录用户对数据库的操作，包括但不限于以下内容：账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。Oracle数据库安全配置规范Page8of11【具体配置】创建ORACLE登录触发器，记录相关信息，但对IP地址的记录会有困难1.建表LOGON_TABLE2.建触发器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT('USERENV','SESSION_USER'),SYSDATE);END;#触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。2.3.3.安全事件日志【目的】数据库应配置日志功能，记录对与数据库相关的安全事件。【具体配置】创建ORACLE登录触发器，记录相关信息，但对IP地址的记录会有困难1.建表LOGON_TABLE2.建触发器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT('USERENV','SESSION_USER'),SYSDATE);END;触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。2.3.4.数据库审计策略【目的】根据业务要求制定数据库审计策略。【具体配置】1.通过设置参数audit_trail=db或os来打开数据库审计。2.然后可使用Audit命令对相应的对象进行审计设置。【检测操作】对审计的对象进行一次数据库操作，检查操作是否被记录。1.检查初始化参数audit_trail是否设置。2.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否Oracle数据库安全配置规范Page9of11有数据。AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。2.4.其它2.4.1.数据库交叉访问【目的】使用Oracle提供的虚拟私有数据库（VPD）和标签安全（OLS）来保护不同用户之间的数据交叉访问。【具体配置】1.在表上构建VPD可以使用Oracle所提供的PL/SQL包DBMS_RLS控制整个VPD基础架构，具体设置方法较复杂，建议参考Oracle文档进行配置。2.Oracle标签安全(OLS)是在相关表上通过添加一个标签列来实现复杂的数据安全控制，具体细节请参考Oracle文档。【检测操作】通过视图来检查是否在数据库对象上设置了VPD和OLS。查询视图v$vpd_policy和dba_policies。2.4.2.限制DBA权限用户访问敏感数据【目的】使用Oracle提供的DataVault选件来限制有DBA权限的用户访问敏感数