資源描述:
《oracle數(shù)據(jù)庫安全配置標(biāo)準(zhǔn)》由會員上傳分享�,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1�、XX公司Oracle數(shù)據(jù)庫安全配置標(biāo)準(zhǔn)(試行)1目的為保證公司應(yīng)用系統(tǒng)的信息安全,規(guī)范數(shù)據(jù)庫層面的安全配置操作��,制定本標(biāo)準(zhǔn)���。2范圍本標(biāo)準(zhǔn)適用于公司各個業(yè)務(wù)系統(tǒng)中使用的Oracle10g及以上數(shù)據(jù)庫系統(tǒng)����。3安全配置標(biāo)準(zhǔn)3.1安裝數(shù)據(jù)庫的主機(jī)要求?主機(jī)應(yīng)當(dāng)專門用于數(shù)據(jù)庫的安裝和使用��;?數(shù)據(jù)庫主機(jī)避免安裝在域控制器上�����;?硬件要求請參考Oracle10g及以上各發(fā)行版自帶的發(fā)行說明��;?主機(jī)操作系統(tǒng)層面應(yīng)當(dāng)保證安全:Oracle數(shù)據(jù)庫可以安裝在WindowsServer,Linux,及各類Unix系統(tǒng)上�����,數(shù)據(jù)庫軟件安裝之前�����,應(yīng)當(dāng)保證主機(jī)操作系統(tǒng)層面的
2��、安全�����,需要對主機(jī)進(jìn)行安全設(shè)置�����,補(bǔ)丁更新��,防病毒軟件安裝等����。3.2數(shù)據(jù)庫補(bǔ)丁安裝標(biāo)準(zhǔn)日常運(yùn)行維護(hù)屮如杲Oracle推出新的補(bǔ)丁,則應(yīng)按照《基礎(chǔ)平臺運(yùn)維管理辦法》的相關(guān)規(guī)定����,在進(jìn)行評估、驗證之后�,升級相關(guān)補(bǔ)丁。3.3數(shù)據(jù)庫口令安全配置標(biāo)準(zhǔn)3.3.1密碼復(fù)雜性配置要求1.密碼長度至少為8位2.必須為DBA帳戶和普通帳戶提供復(fù)雜的口令�,需要包含以下字符:■英語大寫字母A,B,C,???Z■英語小寫字母a,b,c,…z■西方阿拉伯?dāng)?shù)字0,1,2,…9■非字母數(shù)字字符�����,如標(biāo)點符號���,#,$,%,&,*等■為用戶建profile,調(diào)整PASSWORDVER
3、IFYFUNCTION,對密碼負(fù)載度進(jìn)行設(shè)置:策略安全設(shè)置配置說明口令的有效期PASSWORD_LTFE_TTME90天用戶鎖定FAILED_LOGIN_ATTEMPTS連續(xù)失敗登錄10次�����,用戶鎖定口令寬限期PASSWORDGRACETIME7天用戶被加鎖天數(shù)PASSWORD丄OCK_TIME1天原有口令被修改多少次才能被重新使用PASSWORD_REUSE_MAX10次原有口令多少天能夠被使用PASSWORD_REUSE_TIME300天備注:應(yīng)用連接用戶(包括監(jiān)控及備份用戶)的密碼策略依據(jù)應(yīng)用程序設(shè)置相關(guān)密碼策略����。3.3.2創(chuàng)建應(yīng)用賬號
4、并授權(quán)創(chuàng)建用戶:SQL>createuserusernameidentifiedbypassword;基本授權(quán):SQL>grantcormect,resourcetousername;創(chuàng)建表空間:SQL>createtablespacetablespacenamedatafile*/home/oracle/tablespacename.dbf'size500m;用戶與表空間對應(yīng):SQL>alteruserusernamedefaulttablespacetablespace_name;3.3.3禁用不必要的數(shù)據(jù)庫帳戶針對每個數(shù)據(jù)庫里的數(shù)據(jù)庫
5����、帳號,確保沒有測試帳號和無用的帳號存在����。如果存在,應(yīng)該及時禁用�����。使用如下語句查看數(shù)據(jù)庫賬號�,并鎖定不必要的賬號SQL>selectusername,password,account_status,default_tablespacefromdba_users;SQL>alterusertestaccountlock;3.3.4修改數(shù)據(jù)庫缺省用戶的初始密碼在數(shù)據(jù)庫安裝時,應(yīng)對數(shù)據(jù)庫缺省用戶的初始密碼及時進(jìn)行修改����。3.3.5禁止操作系統(tǒng)與數(shù)據(jù)庫間的單點登錄除軟件系統(tǒng)管理用戶(如oracle,grid,splex)外不允許擁有commandlin
6、e的操作系統(tǒng)用戶繞過數(shù)據(jù)庫安全設(shè)置而直接訪問數(shù)據(jù)庫����,即不允許其余用戶加入到dba組中。3.3.6強(qiáng)制新用戶登錄時更改密碼對于新增的數(shù)據(jù)維護(hù)用戶��,在系統(tǒng)中設(shè)置自動控制強(qiáng)制首次登陸修改密碼�,操作命令如下:alteruserusernamepasswordexpire;3.4目錄和文件安全標(biāo)準(zhǔn)3.4.1數(shù)據(jù)庫安裝文件系統(tǒng)要求數(shù)據(jù)庫軟件應(yīng)當(dāng)安裝在支持權(quán)限分配的分區(qū)文件系統(tǒng)上(如NTFS,EXT3等)。3.4.2目錄保護(hù)配置要求受保護(hù)的目錄如下表所示:保護(hù)的目錄應(yīng)用的權(quán)限%ORACLEHOME%(Windows系統(tǒng))Administrators:完全
7�����、控制System:完全控制AuthenticatedUsers:讀取和執(zhí)行�����、列出文件夾內(nèi)容�����、讀取Users:讀取及運(yùn)行、列出文件夾目錄$ORACLE_HOME(Linux/Unix系統(tǒng))oracle屬主用戶:讀��、寫��、執(zhí)行oracle屬組用戶:讀�����、執(zhí)行其它用戶:讀�����、執(zhí)行3.4.3數(shù)據(jù)庫控制文件配置要求對于controlfile的配置�����,要求數(shù)據(jù)庫有2套或以上的Controlfile配置�,以保證數(shù)據(jù)庫的高安全性。3.4.4數(shù)據(jù)庫重做日志的配置要求對于數(shù)據(jù)庫redolog的配置�����,要求按照至少3組或以上的redolog,每組redolog含2個或以上
8���、的成員進(jìn)行配置�����。1.5監(jiān)聽器安全配置標(biāo)準(zhǔn)3.5.1設(shè)置監(jiān)聽器密碼通過設(shè)置監(jiān)聽器密碼對以阻止大部分的菜鳥黑客的進(jìn)攻���,設(shè)置密碼有兩種方法,一種是通過lsnrct1命令來設(shè)置�,另一種是
