Oracle安全改善方案.docVIP

Oracle 安全改善方案 主机安全： 账号安全管理 网络的访问控制管理 OS的备份和恢复 数据库安全： 用户管理 用户是通过账号连接到数据库中的，关于账号的管理是数据库安全的最重要的一部分。其主要包括密码安全设置，以及权限设置。 锁定非使用账号 对于非使用的账号，要及时锁定，禁止任何人使用其来登录到系统中。 更改系统账号默认密码 系统账号的默认密码要及时更改掉。像SYS账号最好改掉并把它遗忘掉。 禁止给非系统用户授予SYSDBA权限 SYSDBA权限是Oracle数据库的最高权限，可以对数据库做任何的操作。包括建库，删除数据库，以及备份恢复数据库。系统中应该只用SYS拥有这个权限。 禁止SYSDBA非本机连入 对于拥有SYSDBA的权限的账号，禁止通过非数据库主机登录。 最小权限 在新建账号时，要满足最小权限规则，用户要求什么权限给什么权限，不该拥有的权限一定要控制好。系统权限尽量不使用角色授权。对象权限可以使用角色授权。 表空间使用及quota设置 为有存储对象的账号指定默认的表空间，和临时表空间，同时给表空间指定quota设置。但是禁止指定账号的默认表空间为系统表空间。 概要文件管理 概要文件控制着密码策略和对系统资源的使用，根据不同账号的使用和访问数据库重要性来管理不同的概要文件。概要文件不易过多。对系统资源的设置要大于最大使用值。 失败登陆锁定 通过概要文件设置登录失败次数，例如用户连续尝试登陆3次失败，则该账户被锁定。 密码复杂度设置 密码必须符合一定的复杂度，如长度必须超过6个字符，且要包括数字、小写字母、大写字母和特殊符号4类中至少2类。具体设置可参看数据库自带的verify_function函数。 密码的生命周期控制 对于采用静态口令认证技术的数据库，账户口令的生存期不长于30天。30天不改，下次登录提示更改，如果还不更改，5天后锁定账号。 密码的重复设置 用户不能重复使用最近10次内已使用的口令 XX 权限和角色管理 权限是账号拥有的可执行操作的授权。只有有了相应的权限授权才能执行相应的操作。权限分为系统权限和对象权限。系统权限是对数据库对象的操作。对象权限是对数据库中对象的数据访问和操作的权限。 高权限账号管理 高权即是能对数据库系统级做变更的权限。高权只能分配给DBA，其他人员一般来说不该拥有这些权限。防止其他人员的误操作导致系统故障。 系统权限 对于开发运维人员，有时候要使用某些系统权限，比如创建对象，更改对象等。可以根据不同的工作岗位和职责来分配系统权限。 对象权限 对象权限管理着数据的安全，通过对象权限可以访问非本账号拥有的对象。 角色管理 可以将一组权限定义为一个角色，这样就方便管理不同账号的相同权限组。系统权限不建议通过角色管理，对象权限可以使用角色管理 审计 数据安全 数据访问控制 网络访问控制 更改默认端口 监听口令设置 数据库的备份还原 规章制度 禁止公用账号 应用程序账号专用 对应应用程序连接数据库的账户，我们不方便每月都去更改口令 高权限账号定期审查 备份定期做恢复测试 定期审查审计日志