oracle数据库安全配置规范.docxVIP

Oracle数据库安全配置规范 概述 目的 本规范明确了oracle数据库安全配置方面的基本要求。为了提高oracle数据库的安全性而提出的。 范围 本规范适用于XXXXX适用的oracle数据库版本。 配置标准 账号管理及认证授权 按照用户分配账号 [目的]应按照用户分配账号，避免不同用户共享账号。 [具体配置] create user abc1 identified by password1; create user abc2 identified by password2; 建立role，并给role授权，把role赋给不同的用户删除无关账号。 [检测操作] 删除无用账号 [目的]应删除或锁定与数据库运行、维护等工作无关的账号。 [具体配置] alter user username lock; drop user username cascade; [检测操作] 限制DBA远程登入 [目的]限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。 [具体配置] 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。 在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登入。 [检测操作] 以Oracle用户登入到系统中。 以sqlplus ‘/as sysdba’登入到sqlplus环境中。 使用show parameter 命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。Show parameter REMOTE_LOGIN_PASSWORDFILE 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE. 最小权限 [目的]在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 [具体配置] ！给用户赋相应的最小权限 grant 权限 to username; !收回用户多余的权限 revoke权限from username; [检测操作] 数据库角色 [目的]使用数据库角色（ROLE）来管理对象的权限。 [具体配置] 使用Create Role命令创建角色。 使用Grant命令将相应的系统、对象或Role的权限赋予应用用户。 [检测操作] 以DBA用户登入到sqlplus中。 通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。 用户属性 [目的]对用户的属性进行控制，包括密码策略、资源限制等。 [具体配置] 可通过下面类似命令来创建profile，并把它赋予一个用户 CREATE PROFILE app_user2 LIMIT FAILED_LOGIN_ATTEMPTS 6 PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_VERIFY_FUNCTION verity_function PASSWORD_LOCK_TIME 1/24 PASSWORD_GRACE_TIME 90; ALTER USER jd PROFILE app_user2; !可通过设置profile来限制数据库账户口令的复杂程度，口令生产周期和账户的锁定方式等。 ！可通过设置profile来限制数据库账户的CPU资源占用。 [检测操作] 数据字典保护 [目的]启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。 [具体配置] 通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。 O7_DICTIONARY_ACCESSIBILITY=FALSE [检测操作] 以普通dba用户登入到数据库，不能查看X$开头的表，比如： select * from sys,x$ksppi; 1:以Oracle用户登入到系统中。 2:以sqlplus ‘／as sysdba’登入到sqlplus环境中。 3：使用show parameter 命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。 Show parameter O7_DICTIONARY_ACCESSIBILITY DBA组操作系统用户数量 [目的]限制在DBA组中的操作系统用户数量，通常DBA组中只有Oracle安装用户。 [具体配置] 通过／etc／passwd 文件来检查是否有其它用户在DBA组中。 [检测操作] 无其它用户属于DBA组。或者通过／et