oracle数据库安全措施简介.pdfVIP

DDBA ddba.oracle@ 目 录 一、数据库安全原则 1 二、具体安全加强措施 1 1．对默认用户进行锁定1 2 ．安装最新的安全补丁1 3．密码管理机制2 4．资源管理机制2 5. 权限管理 3 6．修改认证方式3 7．限制IP连接3 8．关掉Extproc 功能4 9．启动审计功能4 说明：以下措施只是加强 oracle 访问上的安全，防止非法用户通过 oracle 中的漏洞，进行非 法连接，对数据库中的数据进行非法操作，造成数据库损害。 一、数据库安全原则 1．只安装oracle 必须的组件； 2 ．锁定并终止默认用户帐号； 3 ．改变默认用户密码； 4 ．激活数据字典保护（oracle9i 默认具有此功能）； 5 ．根据实际情况给予最少的权限； 6 ．强制进行有效的访问控制（oracle9i 默认具有此功能）； 7 ．限制操作系统访问； 8．限制网络访问； 9 ．安装所有的安全补丁； 二、具体安全加强措施 1．对默认用户进行锁定 在 oracle 安装过程中默认安装会有很多的默认用户，造成安全潜在问题，可以将其锁定，限 制对数据库进行连接。 Oracle 范例用户： HR,OE,PM,SH,QS_ADM,QS,QS_WS,QS_ES,QS_OS,QS_CBADM,QS_CB,QS_CS 只是用于 oracle 的范例，没有实际用处； DBSNMP ：负责运行 Oracle 系统的智能代理(Intelligent Agent)，实际中很少使用，几乎不使 用； OUTLN ：用于存储 Outlines，不使用时可锁定，使用时再打开； MDSYS, ORDSYS, CTXSYS, ORDPLUGINS ：用于支持oracle 的Intermedia ，默认锁定； WMSYS ：用于存储 Oracle Workspace Manager 的元数据信息，默认锁定； ANONYMOUS ：用于允许HTTP 访问 Oracle XML DB ； XDB ：用于存储 Oracle XML DB 数据和元数据； 此外还有一些系统自带的用户，不再列举，建议对除 sys，system，rman ，perfstat 以外的系 统自带用户进行锁定，减少安全隐患。 Sql：select username,account_status from dba_users; alter user username account lock; 2 ．安装最新的安全补丁 安全公告和补丁位置如下： /deploy/security/alerts.htm 1 3．密码管理机制 在 Oracle，我们可以通过修改用户概要文件来设置密码的安全策略，可以自定义密码的复杂 度。在概要文件中有以下参数是和密码安全有关系的： FAILED_LOGIN_ATTEMPTS：最大错误登录次数 PASSWORD_GRACE_TIME：口令失效后锁定时间 PASSWORD_LIFE_TIME：口令有效时间 PASSWORD_LOCK_TIME：登录超过有效次数锁定时间 PASSWORD_REUSE_MAX：口令历史记录保留次数 PASSWORD_REUSE_TIME：口令历史记录保留时间 PASSWORD_VERIFY_FUNCTION：口令复杂度审计函数。 缺省这个安全策略是没有启用的。 启用安全策略： 以 sys 用户执行：SQL @?/rdbms/admin/utlpwdmg.sql 设置举例： CREATE PROFILE app_user2 LIMIT FAILED_LOGIN_ATTEMPTS 5 PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX UNLIMIT