Oracle数据库安全部署配置规范v1.doc

目 录 1概述概述 .2 1.1适用范围.2 1.2符号和缩略语.2 2内存配置规范内存配置规范 .2 3表空间管理规范表空间管理规范 .3 4参数设置规范参数设置规范 .3 5ORACLE 安全配置要求安全配置要求.4 5.1账号.5 5.1.1按用户分配帐号.5 5.1.2删除或锁定无关帐号.5 5.1.3限制 SYSDBA 用户的远程登录.6 5.1.4用户权限最小化.6 5.1.5使用ROLE管理对象的权限.7 5.1.6控制用户属性.8 5.1.7启用数据库字典保护.8 5.2口令.9 5.2.1静态口令认证的密码复杂度控制.9 5.2.2静态口令认证的密码生命周期.10 5.2.3静态口令认证的密码重复使用限制.10 5.2.4静态口令认证的连续登录失败的帐号锁定策略.11 5.2.5更改数据库默认帐号的密码.11 5.2.6操作系统级的帐户安全策略.13 5.3日志.14 5.3.1登录日志功能.14 5.3.2DDL日志14 5.3.3数据库审记.15 5.4其他.15 5.4.1VPD与OLS15 5.4.2Data Vault.16 5.4.3Listener设定密码保护.17 5.4.4设定信任IP集.17 5.4.5加密网络传输.18 5.4.6断开超时的空闲远程连接.19 5.4.7限制DBA组中的操作系统用户数量.19 ORACLE 数据库安全配置规范 1概述概述 1.1适用范围适用范围 本规范明确了 Oracle 数据库安全部署配置方面的基本要求。数据库版本 oracle 10g. 1.2符号和缩略语符号和缩略语 缩写英文描述中文描述 DBADatabase Administrator数据库管理员 VPDVirtual Private Database虚拟专用数据库 OLSOracle Label SecurityOracle 标签安全 2内存配置规范内存配置规范 为了达到数据库最好性能，有效利用数据库资源,以下提供内存分配的简单原则。(数据库服务器 不做其他用途)。 系统内系统内 存存 Sga 大小大小Pga 大小大小系统使用内存系统使用内存Swap其他其他 change_password Old password: Not displayed New password: Not displayed Reenter new password: Not displayed Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT= 1521)(IP=FIRST) Password changed for LISTENER The command completed successfully LSNRCTL save_config 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 使用 lsnrctl start 或 lsnrctl stop 命令起停 listener 需要密码 4、检测操作、检测操作 检查$ORACLE_HOME/network/admin/listener.ora 文件中是否设置参数 ORACLE 数据库安全配置规范 PASSWORDS_LISTENER。 5、补充说明、补充说明 5.4.4设定信任设定信任 IP 集集 要求内容要求内容 设置只有信任的 IP 地址才能通过监听器访问数据库。 操作指南操作指南 1、参考配置操作、参考配置操作 只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora 中设 置以下行： tcp.validnode_checking = yes tcp.invited_nodes = (ip1,ip2) 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 在非信任的客户端以数据库账户登陆被提示拒绝。 4、检测操作、检测操作 检查$ORACLE_HOME/network/admin/sqlnet.ora 文件中是否设置参数 tcp.validnode_checking 和 tcp.invited_nodes。 5、补充说明、补充说明 5.4.5加密网络传输加密网络传输 要求内容要求内容 使用 Oracle 提供的高级安全选件来加密客户端与数据库之间或中间件与 数据库之间的网络传输数据。 操作指南操作指南 1、参考配置操作、参考配置操作 1. 在 Oracle Net Manager 中选择“Oracle Advanced Security” 。 2. 然后选择 Encryption。 3. 选择 Client 或 Server 选项。 4. 选择加密类型。 5. 输入加密种子（可选） 。 ORACLE 数据库安全配置规范 6. 选择加密算法（可选） 。 7. 保存网络配置，sqlnet.ora 被更新。 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 通过网络层捕获的数据库传输包为加密包。 4、检测操作、检测操作 检查$ORACLE_HOME/network/admin/sqlnet.ora 文件中是否设置 sqlnet.encryption 等参数。 5、补充说明、补充说明 5.4.6断开超时的空闲远程连接断开超时的空闲远程连接 要求内容要求内容 在某些应用环境下可设置数据库连接超时，比如数据库将自动断开超过 10 分钟的空闲远程连接。 操作指南操作指南 1、参考配置操作、参考配置操作 在 sqlnet.ora 中设置下面参数： SQLNET.EXPIRE_TIME=10 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 10 分钟以上的无任何操作的空闲数据库连接被自动断开 4、检测操作、检测操作 检查$ORACLE_HOME/network/admin/sqlnet.ora 文件中是否设置参数 SQLNET.EXPIRE_TIME。 5、补充说明、补充说明 5.4.7限制限制 DBA 组中的操作系统用户数量组中的操作系统用户数量 要求内容要求内容 限制在 DBA 组中的操作系统用户数量，通常 DBA 组中只有 Oracle 安 装用户。 ORACLE 数据库安全配置规范 操作指南操作指南 1、参考配置操作、参考配置操作 通过/etc/