Oracle数据库安全部署配置规范_v1.doc

目 录 1概述概述 2 1 1适用范围 2 1 2符号和缩略语 2 2内存配置规范内存配置规范 2 3表空间管理规范表空间管理规范 3 4参数设置规范参数设置规范 3 5ORACLE 安全配置要求安全配置要求 4 5 1账号 5 5 1 1按用户分配帐号 5 5 1 2删除或锁定无关帐号 5 5 1 3限制 SYSDBA 用户的远程登录 6 5 1 4用户权限最小化 6 5 1 5使用ROLE管理对象的权限 7 5 1 6控制用户属性 8 5 1 7启用数据库字典保护 8 5 2口令 9 5 2 1静态口令认证的密码复杂度控制 9 5 2 2静态口令认证的密码生命周期 10 5 2 3静态口令认证的密码重复使用限制 10 5 2 4静态口令认证的连续登录失败的帐号锁定策略 11 5 2 5更改数据库默认帐号的密码 11 5 2 6操作系统级的帐户安全策略 13 5 3日志 14 5 3 1登录日志功能 14 5 3 2DDL日志 14 5 3 3数据库审记 15 5 4其他 15 5 4 1VPD与OLS 15 5 4 2Data Vault 16 5 4 3Listener设定密码保护 17 5 4 4设定信任IP集 17 5 4 5加密网络传输 18 5 4 6断开超时的空闲远程连接 19 5 4 7限制DBA组中的操作系统用户数量 19 ORACLE 数据库安全配置规范 1概述概述 1 1适用范围适用范围 本规范明确了 Oracle 数据库安全部署配置方面的基本要求 数据库版本 oracle 10g 1 2符号和缩略语符号和缩略语 缩写英文描述中文描述 DBADatabase Administrator数据库管理员 VPDVirtual Private Database虚拟专用数据库 OLSOracle Label SecurityOracle 标签安全 2内存配置规范内存配置规范 为了达到数据库最好性能 有效利用数据库资源 以下提供内存分配的简单原则 数据库服务器 不做其他用途 系统内系统内 存存 Sga 大小大小Pga 大小大小系统使用内存系统使用内存Swap其他其他 2G 总内存 1 60 总内存 1 40 1 0G总内存无 4G 总内存 2 60 总内存 2 40 2G总内存无 8G 总内存 2 60 总内存 2 40 2G总内存无 change password Old password Not displayed New password Not displayed Reenter new password Not displayed Connecting to DESCRIPTION ADDRESS PROTOCOL TCP HOST prolin1 PORT 1521 IP FIRST Password changed for LISTENER The command completed successfully LSNRCTL save config 2 补充操作说明 补充操作说明 检测方法检测方法 3 判定条件 判定条件 使用 lsnrctl start 或 lsnrctl stop 命令起停 listener 需要密码 4 检测操作 检测操作 检查 ORACLE HOME network admin listener ora 文件中是否设置参数 ORACLE 数据库安全配置规范 PASSWORDS LISTENER 5 补充说明 补充说明 5 4 4设定信任设定信任 IP 集集 要求内容要求内容 设置只有信任的 IP 地址才能通过监听器访问数据库 操作指南操作指南 1 参考配置操作 参考配置操作 只需在服务器上的文件 ORACLE HOME network admin sqlnet ora 中设 置以下行 tcp validnode checking yes tcp invited nodes ip1 ip2 2 补充操作说明 补充操作说明 检测方法检测方法 3 判定条件 判定条件 在非信任的客户端以数据库账户登陆被提示拒绝 4 检测操作 检测操作 检查 ORACLE HOME network admin sqlnet ora 文件中是否设置参数 tcp validnode checking 和 tcp invited nodes 5 补充说明 补充说明 5 4 5加密网络传输加密网络传输 要求内容要求内容 使用 Oracle 提供的高级安全选件来加密客户端与数据库之间或中间件与 数据库之间的网络传输数据 操作指南操作指南 1 参考配置操作 参考配置操作 1 在 Oracle Net Manager 中选择 Oracle Advanced Security 2 然后选择 Encryption 3 选择 Client 或 Server 选项 4 选择加密类型 5 输入加密种子 可选 ORACLE 数据库安全配置规范 6 选择加密算法 可选 7 保存网络配置 sqlnet ora 被更新 2 补充操作说明 补充操作说明 检测方法检测方法 3 判定条件 判定条件 通过网络层捕获的数据库传输包为加密包 4 检测操作 检测操作 检查 ORACLE HOME network admin sqlnet ora 文件中是否设置 sqlnet encryption 等参数 5 补充说明 补充说明 5 4 6断开超时的空闲远程连接断开超时的空闲远程连接 要求内容要求内容 在某些应用环境下可设置数据库连接超时 比如数据库将自动断开超过 10 分钟的空闲远程连接 操作指南操作指南 1 参考配置操作 参考配置操作 在 sqlnet ora 中设置下面参数 SQLNET EXPIRE TIME 10 2 补充操作说明 补充操作说明 检测方法检测方法 3 判定条件 判定条件 10 分钟以上的无任何操作的空闲数据库连接被自动断开 4 检测操作 检测操作 检查 ORACLE HOME network admin sqlnet ora 文件中是否设置参数 SQLNET EXPIRE TIME 5 补充说明 补充说明 5 4 7限制限制 DBA 组中的操作系统用户数量组中的操作系统用户数量 要求内容要求内容 限制在 DBA 组中的操作系统用户数量 通常 DBA 组中只有 Oracle 安 装用户 ORACLE 数据库安全配置规范 操作指南操作指南 1 参考配置操作 参考配置操作 通过 etc passwd 文件来检查是否有其它