北京师范大学附属教育集团Oracle数据库安全配置标准.docxVIP

XX公司 Oracle数据库安全配置标准（试行） 目的 为保证公司应用系统的信息安全，规范数据库层面的安全配置操作，制定本标准。 范围 本标准适用于公司各个业务系统中使用的Oracle 10g及以上数据库系统。 安全配置标准 安装数据库的主机要求 主机应当专门用于数据库的安装和使用； 数据库主机避免安装在域控制器上； 硬件要求请参考Oracle 10g及以上各发行版自带的发行说明； 主机操作系统层面应当保证安全：Oracle数据库可以安装在Windows Server,Linux,及各类Unix系统上，数据库软件安装之前，应当保证主机操作系统层面的安全，需要对主机进行安全设置，补丁更新，防病毒软件安装等。 数据库补丁安装标准 日常运行维护中如果Oracle推出新的补丁，则应按照《基础平台运维管理办法》的相关规定，在进行评估、验证之后，升级相关补丁。 数据库口令安全配置标准 密码复杂性配置要求 密码长度至少为8位 必须为DBA帐户和普通帐户提供复杂的口令，需要包含以下字符： 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符，如标点符号，@, #, $, %, , *等 为用户建profile，调整PASSWORD_VERIFY_FUNCTION，对密码负载度进行设置： 策略 安全设置 配置说明 口令的有效期 PASSWORD_LIFE_TIME 90天 用户锁定 FAILED_LOGIN_ATTEMPTS 连续失败登录10次，用户锁定 口令宽限期 PASSWORD_GRACE_TIME 7天 用户被加锁天数 PASSWORD_LOCK_TIME 1天 原有口令被修改多少次才能被重新使用 PASSWORD_REUSE_MAX 10次 原有口令多少天能够被使用 PASSWORD_REUSE_TIME 300天 备注：应用连接用户（包括监控及备份用户）的密码策略依据应用程序设置相关密码策略。 创建应用账号并授权 创建用户： SQLcreate user username identified by password; 基本授权： SQLgrant connect,resource to username; 创建表空间： SQLcreate tablespace tablespace_name datafile ‘/home/oracle/tablespace_name.dbf’ size 500m; 用户与表空间对应： SQLalter user username default tablespace tablespace_name; 禁用不必要的数据库帐户 针对每个数据库里的数据库帐号，确保没有测试帐号和无用的帐号存在。如果存在，应该及时禁用。 使用如下语句查看数据库账号，并锁定不必要的账号 SQL select username,password,account_status,default_tablespace from dba_users; SQL alter user test account lock; 修改数据库缺省用户的初始密码 在数据库安装时，应对数据库缺省用户的初始密码及时进行修改。 禁止操作系统与数据库间的单点登录 除软件系统管理用户（如oracle，grid，splex）外不允许拥有command line的操作系统用户绕过数据库安全设置而直接访问数据库，即不允许其余用户加入到dba组中。 强制新用户登录时更改密码 对于新增的数据维护用户，在系统中设置自动控制强制首次登陆修改密码，操作命令如下： alter user username password expire; 目录和文件安全标准 数据库安装文件系统要求 数据库软件应当安装在支持权限分配的分区文件系统上（如NTFS,EXT3等）。 目录保护配置要求 受保护的目录如下表所示： 保护的目录 应用的权限 %ORACLE_HOME% (Windows系统) Administrators：完全控制 System：完全控制 Authenticated Users：读取和执行、列出文件夹内容、读取 Users:读取及运行、列出文件夹目录 $ORACLE_HOME (Linux/Unix系统) oracle属主用户: 读、写、执行 oracle属组用户: 读、执行 其它用户: 读、执行 数据库控制文件配置要求 对于control file的配置，要求数据库有2套或以上的Control file配置，以保证数据库的高安全性。 数据库重做日志的配置要求 对于数据库redo log的配置，要求按照至少3组或以上的redo log，每组redo log含2个或以上的成员进行配置。