Oracle安全加固配置基线.docxVIP

Oracle安全加固配置基线

Oracle安全加固配置基线

Oracle

目录

TOC\o1-2\h\z\u20618079261.概述 2

10096842901.1适用范围 2

3480834361.2规范依据 2

4928544241.3实施策略 2

5598776892.安全配置基线标准 4

17384615162.1身份鉴别 4

18076819772.2访问控制 9

12598333302.3安全审计 14

19775015372.4资源控制 15

14114113872.5其他安全项 16

概述

适用范围

本配置基线适用于Oracle系列系统，主要涉及Oracle系统安全配置方面的基本要求，用于指导安全例行工作、新系统入网安全检查等场合。

规范依据

据目前Oracle操作系统的安全现状，综合参考安全运维专家经验，结合相关规范性文件指引，制定适合的基线配置规范。

规范性引用文件：

GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》

GB/T28453-2012《信息安全技术信息系统安全管理评估要求》

GB/T25063-2010《信息安全技术服务器安全测评要求》

GB/Z24364-2009《信息安全技术信息安全风险管理指南》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T20270-2006《信息安全技术网络基础安全技术要求》

GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

GB/T20269-2006《信息安全技术信息系统安全管理要求》

YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求》

实施策略

结合网络和信息系统建设情况，考虑安全配置项影响的范围，结合以往工作经验，提出如下安全项目实施策略：

基础项：实施安全基线能够明显提升安全水平，实施风险小，可操作性强。

建议项：实施安全基线能够提升一定安全水平，具有一定风险，可操作性较强。

序号

配置类别

安全基线项目名称

实施策略

1

身份鉴别

锁定不必要帐号

基础项

2

身份鉴别

设置并保证密码复杂度

基础项

3

身份鉴别

更改默认帐号密码

基础项

4

身份鉴别

设置认证失败策略

基础项

5

身份鉴别

配置重复口令使用次数

建议项

6

身份鉴别

设置帐号口令的生存期

建议项

7

身份鉴别

配置密码变更宽限期

建议项

8

访问控制

设置监听器启停密码

基础项

9

访问控制

权限分离

基础项

10

访问控制

限制账户权限

基础项

11

访问控制

限制TNS登录IP

建议项

12

访问控制

限制DBA账户远程登录

建议项

13

访问控制

配置数据字典访问权限

建议项

14

安全审计

配置数据库审计

建议项

15

资源控制

设置连接超时锁定策略

基础项

16

其它安全项

配置安装最小化

建议项

17

其它安全项

设置通讯传输加密

建议项

18

其它安全项

更新数据库补丁

建议项

安全配置基线标准

身份鉴别

锁定不必要账户

基线名称

锁定不必要账户（基础项）

基线编号

Tophant-Oracle-1

基线项说明

应锁定与数据库运行、维护等工作无关的账户。

配置方法

以下操作需sys权限

配置命令如下：

sqlplus/assysdba//登录到sqlplus环境

SQLalteruserusernameaccountlock;//username为需要锁定的账户

如果锁定某用户后对业务造成影响，使用以下命令进行账户解锁：

SQLalteruserusernameaccountunlock;

Oracle默认开启sys,system,dbsnmp,sysman,mgmt_view账户，若不需要上述账户，可由数据库管理员禁用。

检查方法

结合要求和实际业务情况判断符合要求锁定与设备运行、维护等与工作无关的账户。

以下操作需sys权限账户登录

sqlplus/assysdba

SQLselectusername,account_statusfromdba_users;//命令查看是否存在（sys,system,dbsnmp,sysman,mgmt_view）多余未锁定账户

依据

备注

需要手工判断，实际情况应与具体需求为准，谨慎操作。

设置并保证密码复杂度

基线名称

设置并保证密码复杂度（基础项）

基线编号

Tophant-Oracle-2

基线项说明

对于采用静态口令进行认证的数据库，口令长度至少8位，并包括数字、小写字母、大写字母