Oracle安全配置基线.doc

Oracle 数据库系统安全配置基线 中国移动集团公司第 1 页 共 14 页 OracleOracle 数据库系统安全配置基线数据库系统安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 4 月 Oracle 数据库系统安全配置基线 中国移动集团公司第 2 页 共 14 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 V2 0更新2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 Oracle 数据库系统安全配置基线 中国移动集团公司第 3 页 共 14 页 目目 录录 第第 1 章章概述概述 4 1 1目的 4 1 2适用范围 4 1 3适用版本 4 1 4实施 4 1 5例外条款 4 第第 2 章章帐号帐号 5 2 1帐号安全 5 2 1 1删除不必要帐号 5 2 1 2限制超级管理员远程登录 5 2 1 3用户属性控制 6 2 1 4数据字典访问权限 6 2 1 5TNS 登录 IP 限制 7 第第 3 章章口令口令 8 3 1口令安全 8 3 1 1帐号口令的生存期 8 3 1 2重复口令使用 8 3 1 3认证控制 9 3 1 4更改默认帐号密码 9 3 1 5密码更改策略 10 3 1 6密码复杂度策略 10 第第 4 章章日志日志 12 4 1日志审计 12 4 1 1数据库审计策略 12 第第 5 章章其他其他 13 5 1其他配置 13 5 1 1设置监听器密码 13 5 1 2加密数据 13 第第 6 章章评审与修订评审与修订 14 Oracle 数据库系统安全配置基线 中国移动集团公司第 4 页 共 14 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动管理信息系统部所维护管理的 ORACLE 数据库系统应当遵循的 数据库安全性设置标准 本文档旨在指导数据库管理人员进行 ORACLE 数据库系统的安全 配置 1 2 适用范围适用范围 本配置标准的使用者包括 数据库管理员 应用管理员 网络安全管理员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 ORACLE 数据库系统 1 3 适用版本适用版本 ORACLE 数据库系统 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 Oracle 数据库系统安全配置基线 中国移动集团公司第 5 页 共 14 页 第第 2 章章帐号帐号 2 1 帐号安全帐号安全 2 1 1 删除不必要帐号删除不必要帐号 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 删除不必要帐号安全基线要求项 安全基线编安全基线编 号号 SBL Oracle 02 01 01 安全基线项安全基线项 说明说明 应删除或锁定与数据库运行 维护等工作无关的帐号 检测操作步检测操作步 骤骤 首先锁定不需要的用户 在经过一段时间后 确认该用户对业务确无影响的情况下 可以删除 基线符合性基线符合性 判定依据判定依据 结合要求和实际业务情况判断符合要求 删除或锁定与设备运行 维护等与 工作无关的帐号 备注备注手工判断 2 1 2 限制超级管理员远程登录限制超级管理员远程登录 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 远程登录安全基线要求项 安全基线编安全基线编 号号 SBL Oracle 02 01 02 安全基线项安全基线项 说明说明 限制具备数据库超级管理员 SYSDBA 权限的用户远程登录 检测操作步检测操作步 骤骤 1 以 Oracle 用户登陆到系统中 2 以 sqlplus as sysdba 登陆到 sqlplus 环境中 3 使用 show parameter 命令来检查参数 REMOTE LOGIN PASSWORDFILE 设置 Show parameter REMOTE LOGIN PASSWORDFILE 4 检查在 ORACLE HOME network admin sqlnet ora 文件中参数 Oracle 数据库系统安全配置基线 中国移动集团公司第 6 页 共 14 页 SQLNET AUTHENTICATION SERVICES 设置 基线符合性基线符合性 判定依据判定依据 1 参数 REMOTE LOGIN PASSWORDFILE 设置为 NONE 限制远程登 录 2 sqlnet ora 文件中参数 SQLNET AUTHENTICATION SERVICES 设置成 NONE 限制本地帐号权限登录 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 例外情 况 若存在 rman 备份 有从远程发起的备份 比如 connect sys crmdb11 as sysdba 需重点确认是否有影响 2 1 3 用户属性控制用户属性控制 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 用户属性控制策略安全基线要求项 安全基线编安全基线编 号号 SBL Oracle 02 01 03 安全基线项安全基线项 说明说明 对用户的属性进行控制 主要为密码策略 检测操作步检测操作步 骤骤 1 以 DBA 用户登陆到 sqlplus 中 2 查询视图 dba profiles 和 dba usres 来检查 profile 是否创建 基线符合性基线符合性 判定依据判定依据 1 可通过设置 profile 来限制数据库帐号口令的复杂程度 口令生存周期和帐 号的锁定方式等 备注备注 2 1 4 数据字典访问权限数据字典访问权限 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 数据字典访问权限策略安全基线要求项 安全基线编安全基线编 号号 SBL Oracle 02 01 04 安全基线项安全基线项 说明说明 启用数据字典保护 只有 SYSDBA 权限用户才能访问数据字典基础表 检测操作步检测操作步 骤骤 1 以 Oracle 用户登陆到系统中 2 以 sqlplus as sysdba 登陆到 sqlplus 环境中 3 使用 show parameter 命令来检查参数 O7 DICTIONARY ACCESSIBILITY 基线符合性基线符合性参数 O7 DICTIONARY ACCESSIBILITY 是否设置为 FALSE Oracle 数据库系统安全配置基线 中国移动集团公司第 7 页 共 14 页 判定依据判定依据 备注备注 2 1 5 TNS 登录登录 IP 限制限制 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 数据字典访问权限策略安全基线要求项 安全基线编安全基线编 号号 SBL Oracle 02 01 05 安全基线项安全基线项 说明说明 通过数据库所在操作系统或防火墙限制 只有信任的IP 地址才能通过监听 器访问数据库 检测操作步检测操作步 骤骤 1 参考配置操作 只需在服务器上的文件 ORACLE HOME network admin sqlnet ora 中设 置以下行 tcp validnode checking yes tcp invited nodes ip1 ip2 2 补充操作说明 如果网络层已经做过访问控制 该项为可选项 否则为必选项 可信内网地址指 专用维护终端 访问数据库应用服务器 堡垒机 其他地址段禁止 基线符合性基线符合性 判定依据判定依据 1 判定条件 在非信任的客户端以数据库帐号登陆被提示拒绝 2 检测操作 检查 ORACLE HOME network admin sqlnet ora 文件中是否设置参数 tcp validnode checking 和 tcp invited nodes 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 Oracle 数据库系统安全配置基线 中国移动集团公司第 8 页 共 14 页 第第 3 章章口令口令 3 1 口令安全口令安全 3 1 1 帐号口令的生存期帐号口令的生存期 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 帐号口令生存期安全基线要求项 安全基线编安全基线编 号号 SBL Oracle 03 01 01 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的数据库 帐号口令的生存期不长于 90 天 检测操作步检测操作步 骤骤 1 以 Oracle 用户登陆到系统中 2 以 sqlplus as sysdba 登陆到 sqlplus 环境中 3 执行 select limit from dba profiles where resource name PASSWORD LIFE TIME and profile in select profile from dba users where account status OPEN 基线符合性基线符合性 判定依据判定依据 查询结果中 PASSWORD LIFE TIME 小于等于 90 备注备注 3 1 2 重复口令使用重复口令使用 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 重复口令的使用策略安全基线要求项 安全基线编安全基线编 号号 SBL Oracle 03 01 02 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的数据库 应配置数据库 使用户不能重复使用 最近 5 次 含 5 次 内已使用的口令 检测操作步检测操作步 骤骤 1 以 Oracle 用户登陆到系统中 2 以 sqlplus as sysdba 登陆到 sqlplus 环境中 3 执行 select resource name limit from dba profiles dba users where Oracle 数据库系统安全配置基线 中国移动集团公司第 9 页 共 14 页 dba profiles profile dba users profile and dba users account status OPEN and resource name PASSWORD REUSE MAX 基线符合性基线符合性 判定依据判定依据 查询结果中 PASSWORD REUSE MAX 大于等于 5 备注备注 3 1 3 认证控制认证控制 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 认证控制策略安全基线要求项 安全基线编安全基线编 号号 SBL Oracle 03 01 03 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的数据库 应配置当用户连续认证失败次数超过 10 次 锁定该用户使用的帐号 检测操作步检测操作步 骤骤 1 以 Oracle 用户登陆到系统中 2 以 sqlplus as sysdba 登陆到 sqlplus 环境中 3 执行 select resource name limit from dba profiles dba users where dba profiles profile dba users profile and dba users account status OPEN and resource name FAILED LOGIN ATTEMPTS 基线符合性基线符合性 判定依据判定依据 查询结果中 FAILED LOGIN ATTEMPTS 等于 10 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 对核心 库 生产用户不能设置此基线 误操作或恶意超过 10 次 导致用户锁定 有一定风险 可能会导致应用异常 3 1 4 更改默认帐号密码更改默认帐号密码 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 默认帐号口令策略安全基线要求项 安全基线编安全基线编 号号 SBL Oracle 03 01 04 安全基线项安全基线项 说明说明 更改数据库默认帐号的密码 检测操作步检测操作步 1 以 Oracle 用户登陆到系统中 Oracle 数据库系统安全配置基线 中国移动集团公司第 10 页 共 14 页 骤骤 2 以 system system system manager sys sys sys cHAnge on install scott scott scott tiger dbsnmp dbsnmp rman rman xdb xdb 登陆 sqlplus 环境 基线符合性基线符合性 判定依据判定依据 上述帐号口令均不能成功登录 备注备注 3 1 5 密码更改策略密码更改策略 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 密码更改策略安全基线要求项 安全基线编安全基线编 号号 SBL Oracle 03 01 05 安全基线项安全基线项 说明说明 设置帐号宽限期 检测操作步检测操作步 骤骤 1 以 Oracle 用户登陆到系统中 2 以 sqlplus as sysdba 登陆到 sqlplus 环境中 3 执行 select resource name limit from dba profiles dba users where dba profiles profile dba users profile and dba users account status OPEN and resource name PASSWORD GRACE TIME 基线符合性基线符合性 判定依据判定依据 查询结果中 PASSWORD GRACE TIME 小于等于 7 备注备注密码过期后 7 天内不修改密码 密码将失效 3 1 6 密码复杂度策略密码复杂度策略 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 密码复杂度策略安全基线要求项 安全基线编安全基线编 号号 SBL Oracle 03 01 06 安全基线项安全基线项 说明说明 对于采用静态口令进行认证的数据库 口令长度至少 8 位 并包括数字 小 写字母 大写字母和特殊符号四类中至少两类 且 5 次以内不得设置相同的 Oracle 数据库系统安全配置基线 中国移动集团公司第 11 页 共 14 页 口令 密码应至少每 90 天进行更换 检测操作步检测操作步 骤骤 1 以 Oracle 用户登陆到系统中 2 以 sqlplus as sysdba 登陆到 sqlplus 环境中 3 执行 select limit from dba profiles where resource name PASSWORD VERIFY FUNCTION and profile in select profile from dba users where account status OPEN 基线符合性基线符合性 判定依据判定依据 为用户建 profile 调整 PASSWORD VERIFY FUNCTION 指定密码复杂 度 备注备注 Oracle 数据库系统安全配置基线 中国移动集团公司第 12 页 共 14 页 第第 4 章章日志日志 4 1 日志审计日志审计 4 1 1 数据库审计策略数据库审计策略 安全基线项安全基线项 目名称目名称 数据库管理系统 Oracle 数据审计策略安全基线要求项 安全基线编安全基线编 号号 SBL Oracle 04 01 01 安全基线项安全基线项 说明说明 根据业务要求制定数据库审计策略 对用户登录进行记录 记录内容包括用户登录使用的帐号 登录是否成功 登录时间以及远程登录时用户使用的 IP 地址 用户对数据库的操作 包括但不限于以下内容 帐号创建 删除和权限修改 口令修改 读取和修改数据库配置 读取和修改业务用户的话费数据 身份 数据 涉及通信隐私数据 记录需要包含用户帐号 操作时间 操作内容以 及操作结果 记录对与数据库相关的安全事件 检测操作步检测操作步 骤骤 1 以 Oracle 用户登陆到系统中 2 以 sqlplus as sysdba 登陆到 sqlplus 环境中 3 使用 show parameter 命令来检查参数 audit trail 是否设置 4 检查 dba audit trail 视图中或 ORACLE BASE admin adump 目录下是否有 数据 基线符合性基线符合性 判定依据判定依据 参数 audit trail 不能设置为 NONE 需设置具体的审计内容 可以设置数据库参数 audit sys operations true 来审计所有 SYS 用户的操作 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 通过外 围审计实现 数据库开启该项参数后 对数据库性能影响较大 在以往的基线推广中 因数据库审计基线对业务系统影响较大 很难落地实 施 Oracle 数据库系统安全配置基线 中国移动集团公司第 13 页 共 14 页 第第 5 章章