数据库安全规范.docxVIP

数据库安全规范 概述 适用范围 本规范明确了Oracle数据库安全配置方面的基本要求。 符号和缩略语 缩写 英文描述 中文描述 DBA Database Administrator 数据库管理员 ORACLE安全配置要求 本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。 本规范从ORACLE数据库的认证授权功能和其它自身安全配置功能提出安全要求。 账号 ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。 按用户分配帐号 要求内容 应按照用户分配账号，避免不同用户间共享账号。 操作指南 参考配置操作 create user abc1 identified by password1; create user abc2 identified by password2; 建立role，并给role授权，把role赋给不同的用户 补充操作说明 1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称； 检测方法 判定条件 不同名称的用户可以连接数据库 检测操作 connect abc1/password1连接数据库成功 5、补充说明 删除或锁定无关帐号 要求内容 应删除或锁定与数据库运行、维护等工作无关的账号。 操作指南 参考配置操作 alter user username lock; drop user username cascade; 补充操作说明 检测方法 判定条件 首先锁定不需要的用户 在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除 4、检测操作 5、补充说明 用户权限最小化 要求内容 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 操作指南 参考配置操作 grant　权限　to username; revoke 权限　from username; 补充操作说明 用第一条命令给用户赋相应的最小权限 用第二条命令收回用户多余的权限 检测方法 判定条件 业务测试正常 检测操作 业务测试正常 5、补充说明 使用ROLE管理对象的权限 要求内容 使用数据库角色（ROLE）来管理对象的权限。 操作指南 1、参考配置操作 1. 使用Create Role命令创建角色。 2. 使用用Grant命令将相应的系统、对象或Role的权限赋予应用用户。 2、补充操作说明 检测方法 3、判定条件 对应用用户不要赋予DBA Role或不必要的权限。 4、检测操作 1. 以DBA用户登陆到sqlplus中。 2. 通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。 5、补充说明 控制用户属性 要求内容 对用户的属性进行控制，包括密码策略、资源限制等。 操作指南 1、参考配置操作 可通过下面类似命令来创建profile，并把它赋予一个用户 CREATE PROFILE profile_name LIMIT FAILED_LOGIN_ATTEMPTS 6 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_LOCK_TIME 1/24; ALTER USER user_name PROFILE profile_name; 2、补充操作说明 检测方法 3、判定条件 1. 可通过设置profile来限制数据库账户口令的复杂程度，口令生存周期和账户的锁定方式等。 2. 可通过设置profile来限制数据库账户的CPU资源占用。 4、检测操作 1. 以DBA用户登陆到sqlplus中。 2. 查询视图dba_profiles和dba_usres来检查profile是否创建。 5、补充说明 口令 静态口令认证的密码复杂度控制 要求内容 对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 操作指南 参考配置操作 为用户建profile，调整PASSWORD_VERIFY_FUNCTION，指定密码复杂度 补充操作说明 检测方法 判定条件 修改密码为不符合要求的密码，将失败 检测操作 alter user abcd1 identified by abcd1;将失败 5、补充说明 静态口令认证的密码重复使用限制 要求内容 对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用最近5次（含5次）内已使用的口令。 操作指南 参考配置操作 为用户建profile,指定PASSWORD_REUSE_M