工信部标准-数据库检查表.docxVIP

编号

DB-Oracle-账号一01

DB-Oracle-账号一02

DB-Oracle-账号一03

DB-Oracle-账号一04

DB-Oracle-账号一05

Oracle一授权一01

Oracle一授权一02

Oracle一授权一03

DB-Oracle-口令-01

DB-Oracle-口令-02

DB-Oracle-口令-03

DB-Oracle-口令-04

DB-Oracle一日志一01

DB-Oracle一日志一02

DB-Oracle一日志一03

DB-Oracle一日志一04

DB-Oracle一安全补丁一01

DB-Oracle-Listener安全

-01

DB-Oracle连接超时设置-

01

DB-Oracle-可信IP地址访

问控制一01

B-Oracle-数据传输安全

一01

要求内容

应按照用户分配账号，避免不同用户间共享账号

应删除或锁定与数据库运行、维护等工作无关的账号，删除过期账号

禁止以管理员帐号权限运行oracl

启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表

限制在DBA组中的操作系统用户数量，通常DBA组中只有Oracle安装用户

在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限

限制具备数据库超级管理员(SYSDBA)权限的用户远程登录

使用数据库角色(ROLE)来管理对象的权限

对于采用静态口令进行认证的数据库，口令长度至少8位，并包括数字、小写字

母、大写字母和特殊符号4类中至少3类

对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用最

近5次(含5次)内已使用的口令

对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过6次

(不含6次)，采取相应警示或增强验证等措施

修改默认帐户密码

数据库应配置日志功能，对用户登录信息进行记录，记录内容包括用户登录使

用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址

数据库应配置日志功能，记录用户对数据库的操作，包括但不限于以下内容:

账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改

业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号

，操作时间，操作内容以及操作结果

数据库应配置日志功能，记录对与数据库相关的安全事件

根据业务要求制定数据库审计策略

安装了最新的安全补丁(注:在保证业务及网络安全的前提下，经过兼容性测试

后

为数据库监听器(LISTENER)的关闭和启动设置密码

在某些应用环境下可设置数据库连接超时，比如数据库将自动断开超过巧分钟

的空闲远程连接

过数据库所在操作系统或防火墙限制，只有信任的lP地址才能通过监听器访问

数据库

使用Oracle提供的高级安全选件来加密客户端与数据库之间或中间件与数据库

之间的网络传输数据

操作指南

createuserabc1identifiedbypassword1;

createuserabc2identifiedbypassword2;

建立role，并给role授权，把role赋给不同的用户

alteruserusernameaccountlock；

dropuserusernamecascade;

打开spfle，修改设置来禁止SYSDBA用户从远程登陆:

REMOTE_LOGIN_PASSWORDFILE=NONE

通过设置下面初始化参数来限制只有SYSDBA权限的用户才能

访问数据字典。

07_DICTIONARY_ACCESSIBILITY_FALSE

通itletc/passwd文件来检查是否有其他用户在DBA组中

grant权限tousemame;

revoke权限fromusername;

用第一条命令给用户赋相应的最小权限;

用第二条命令收回用户多余的权限。

授权原则:

在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止

SYSDBA用户从远程登陆

使用CreateRole命令创建角色;使用用Grant命令将相应的系

统、对象或Role的权限赋予应用用

为用户建profile，调整PASSWORD_VERIFY_FUNCTION，指定密

码复杂度:

CREATEPROFILETEST_PROFILE

LIMITPASSWORD_VERIFY_FUNCTIONVERIFY_FUNCTION;

ALTERUSERUSER_NAMEPROFILETEST_PROFILE;

为用户建profile，指定PASSWORD_REUSE_MAX为5

为用户建profile，指定FIL