Oracle数据库系统加固规范.docxVIP

精品文档 精品文档 PAGE PAGE38 精品文档 PAGE v1.0 可编写可改正 Oracle数据库系统加固规范 I v1.0 可编写可改正 目 录 1 账号管理、认证授权 1 1.1 账号 1 1.1.1 SHG-Oracle-01-01-01 1 1.1.2 01-01-02 2 1.1.3 01-01-03 3 1.1.4 SHG-Oracle-01-01-04 4 1.1.5 SHG-Oracle-01-01-05 6 1.1.6 SHG-Oracle-01-01-06 8 1.1.7 SHG-Oracle-01-01-07 10 1.1.8 SHG-Oracle-01-01-08 11 1.2 口令 13 1.2.1 SHG-Oracle-01-02-01 13 1.2.2 SHG-Oracle-01-02-02 15 1.2.3 SHG-Oracle-01-02-03 16 1.2.4 SHG-Oracle-01-02-04 18 1.2.5 SHG-Oracle-01-02-05 19 2 日志配置 21 2.1.1 SHG-Oracle-02-01-01 21 2.1.2 SHG-Oracle-02-01-02 24 2.1.3 SHG-Oracle-02-01-03 26 2.1.4 SHG-Oracle-02-01-04 28 3 通信协议 30 3.1.1 SHG-Oracle-03-01-01 30 3.1.2 SHG-Oracle-03-01-02 31 4 设施其他安全要求 33 4.1.1 SHG-Oracle-04-01-01 33 4.1.2 SHG-Oracle-04-01-02 34 II v1.0 可编写可改正 账号管理、认证授权 1账号 1.1.1 SHG-Oracle-01-01-01 编号 SHG-Oracle-01-01-01 名称 为不同的管理员分派不同的账号 应按照用户分派账号，防止不同用户间共享账号 ,提高安全 实施目的 性。 问题影响 账号混杂，权限不明确，存在用户越权使用的可能。 select * from all_users; 系统目前状态 select * from dba_users; 记录用户列表 1、参照配置操作 createuserabc1identifiedbypassword1; 实施步骤 createuserabc2identifiedbypassword2; 成立role，并给role 授权，把role 赋给不同的用户 2、补充操作说明 1 v1.0 可编写可改正 1、abc1和abc2是两个不同的账号名称，可根据不同用户， 取不同的名称； 删除用户：比如创建了一个用户 A，要删除它能够这样做 回退方案 connectsys/ 密码assysdba; dropuserAcascade; 1.1.201-01-02 01-01-02 2 v1.0 可编写可改正 1.1.301-01-03 01-01-03 3 v1.0 可编写可改正 不能经过Sql*Net远程以SYSDBA用户连结到数据库。 在数据库主机上以sqlplus‘/assysdba’连结到数据库需要输入口令。 检测操作 以Oracle用户登岸到系统中。 2.以sqlplus ‘/assysdba’登岸到sqlplus 环境中。 使用showparameter命令来检查参数 REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。 ShowparameterREMOTE_LOGIN_PASSWORDFILE 检查在 $ORACLE_HOME/network/admin/文件中参数是否被设置成 NONE。 实施风险 高 重要等级 ★★★ 备注 1.1.4 SHG-Oracle-01-01-04 编号 SHG-Oracle-01-01-04 4 v1.0 可编写可改正 名称 权限最小化 在数据库权限配置能力内，根据用户的业务需要，配置其所 实施目的 需的最小权限。 问题影响 账号权限越大,对系统的威胁性越高 select*fromuser_sys_privs; select*fromuser_role_privs; 系统目前状态 select*fromuser_tab_privs; 记录用户拥有权限 1、参照配置操作 grant权限 tousername; revoke权限 fromusername; 实施步骤 2、补充操作说明 用第一条命令给用户赋相应的最小权限 用第二条命令收回用户多余的权限 回退方案 复原增添或删除的权限 判断依据 业务测试正常 实施风险 高 重要等级 ★ 5 v1.0 可编写可改正 备注 1.1.5 SHG-Oracle-01-01-05 编号 SHG-