Oracle审计手册资料

Oracle审计手册

介绍2

A特定现场的Oracle环境3

B密码管理6

COracle系统安全12

D操作系统安全18

E日常的批次作业22

F系统与对象审计24

G华份策略27

H数据库联网30

1完整性与性能32

1、介的与霰述

这个审计程序包含了球在复审Oracle救捉用环地时健弊执行的审计恻试.这个审计程序健弊814使用，然而，它应该与Oracle审计软件OraAudil联合使用.这与在

(>r«Audit内牛或的审计刈试.或力插件.育以来那用时间的OrHcle审计程序参考号来，JI用.这个审计软付的使用指南能讷A4关的帚的《ftOraaudit.Help.index.ht■中

找到.这个程序内的审计测M.在能用到的地方.是作为审计程序的输出面被引用的.

在尽力惟持市」超许的全面性与可忏性的网时・审计的陶诚在执行知一个申请洪试时•运用他打的推断力与制造t1,有/这一认识・・的审计泅试K6得到恃境

的完号.也会获用审计程序，软件的定期修订.

Ref.AuditTenAuditFindingsTestOK?CompletedXRef:XRefi

No.Y/Nby:WortOraAudit

ImualsPaperaPhigms

A特定现场的OOKIC环境A005

A001审计目标AOOS

A002通过复由与马DfM面谈.未懂对现场的Oracle处理环境，\(m

A003确定血姜的散据库应用系铳，数据仓库.管理信息系统,AOIO

A004应用与其他使用故招忠系统的关口业务祭统.

A005提供主机系捺与客户/朋务器依/5）处理斗靖的文档，比如：

A006a）以在机为中心的2则：通”.在单个数据岸事务21匕用户

A008通过操作系统（lelnei）叁录：

A0091»）两层的C/S环境，客户域的应用处理在PC上（胖N户喈）,

AOIO用户通过客户端Orach网络访H程存登录：

c）三层的C/S环境：应用处理逻刑装权在应用服务器上.与

,保密服务洪。PC机（就客户烟）相分离,用户通过内

阳程中一V”的网络为何程序0录.

记录使网的能午数据际应用.有用工具.或行泞理程汴.

项定Onwk服务M所安长的振作系统.

确定Orach眼分器所使用的版本与产M.

WftOrach-Ct抠昨的理税数1K与处理模式是否记录进适当的

手■中.

通过DBA擅行SIK»PARAMETERS命令来费得Oracle目前的冬

数.

Oracle健议客户实施数据字艮保护，以防止有'ANY，系统权

限的用户©数第字典使用这样的权Bl.为了使数抠字及保护分

Ref.AuditTestAuditFindingsTPOK?CompletedXRef:X-Ref:

No.Y/N6：WortOraAvdit

Initial、PaperaPhigini

tt>在iniZsM>.orti（Qracle9i操纵文件）中如下设置t

D7DICTIOSARVACCESSIBLE-FALSE

注热这杼窿/以后.fi有部酢投杈成帆：权果的用户（ttts/

cnwficr/ASSVSDM）的连接才货辑时数露字典使用,A\T-

权％假如这个席数小黛建议:加达怦设.外媚有丽AXY

TAfU.t：（比0）的用户试行笠力“盒£齐敏城学我的部分.

然而我如用户需妾对改枢字典作视图访科,能罅造过照沿它

SHJ.fiCTAVI'DiCTfOXMV&眼央丈度.注态在OracMi.

07DICTjmAKYACaSSIBH.m'=FASf这能群的;而在

OracleSi,这个*ft破省设为JUTE,因处务必刚磷他格人或为

FALW以启用这-安仝特性.

接表用于发森系统中所有软件具有有就讲可证的流出是否利

位.特别是.I.ICEXSE_aKX_SESSIONSn£«1.ICFVSE_UKX.ISERS

峋iS设置•«祁连摆到数提阵的并发公话/用户限制在许可if侨

议所指定的限激之内.

注解:於。衣示没我启用内部探圾.因此会同意无果刎的会话

/用户连接刹敷器母.

RefAuditTc«AuditFindingsTcMOK?CompletedXRef:X-Rcf:

No.Y/N5：WortOraAudit

IruuahPapcnsPhigms

B密码管理BCXM

B(M)I审计目标BOOS

B002核杳口令管理班略是否实饨,以保证数据通过认证初到很好的B007

B003保护.RQ09

B(MM核fi在Or*k环境中与口令世理有关的林净是否己姓建立，并B0I0

B005己写入相应的手册中.BOH

B006核色件OrTe中.关于用户帐号与招的卷电与保护.是否行足BOI2

B(M)7够的授权程序,

BOOS从安全窗防那里度例柒及的视用DBA.USERS与

B(M>9DBA_PROni.ES.

B0I0动过复审标统视图DBA.USERS与DB4_PROHLES-楂我得

BOH一用户将用pn，filc）的黎热.以碣M他们拄照安个标淮我国：

BOI2a）IDI.E.T1ME一一限定在一个会iA自动皂出前的持税非

活动时间.<建议的值：15分钟短

b）FAILEDJXXJIN.JVTTEMPTS——在用户帐号锁定前.

网鱼肾录到用户怅号的小成功娄试的次数・（住仪的；3>1

e）PASSWORD.LIFE.T1ME——MJ•南码能W；用尸认证

的天数.在这之后密码务必改变.（建议馆：30天）：

d）PASSWORD_REUSE_T1ME•个定码不能近新由

用的间修天数,（建议也：假如PK、wocd_rcg：_mM设%

成12.则PASSWCRD_REUSE_T1ME设二为尢阳期.否

ill.PASSWORD_RE11SE_T1MH应及改为365而

Ref.AuditTestAuditFindingsTPOK?CompletedXRef:X-Ref:

No.Y/N6：WortOraAvdit

Initial、PaperaPhigini

P<»swvni_rvu5C_niax应速设为无RtHH，询见上面的注科>i

c）PASSWORD_REUSE_MAX——在一个密码由新后用

前.密码煌交的次12.（谯以的：假iUPu、s*onl_reu*e」ime

设置或563.UIPASSWORD_REUSE_MAX设置为无限

RJ.否则.PASSWORD_REUSE_MAX设置为12血

Par»wonLrvuw」ime应该设置为王以期.访见卜面的注

眄

0PASSWORl）_VERIFY_FVNCnON——PI/SQLU令复

杂忖般it*本的名际：

g>PASSWORD_I.OCK_TIME——在确定的不成功置录宏

忒后,用户帐号。情住的天数.（一—值:XRM）：

h）PASSWORD_GRACE_TIME一一就收期的大数,ffiiR

时间内.登录时会而警告拈息但费泉还能物灌堆.（建议

伯：5天）：

i）E；_PER_SFSS1ON——加个会话的CPU时间黑喇.

（建议也：取决于应用的情况,但不应该设为无限IM

UNLIMITED）.

注解：卜面足2诿注小的事蹊：

•任售没有成明・立定用户播tma的用户移遑从

DEFAULT"向pmfilr）定义的务欢限制.此外.黄

知明腐指定蛤一个用户的用户特ittpEikb也造厂

对某当资源的跟制.或冷才利某联跟制指定为

摩么用户N遵从DEFAVn卷性中转至”货源所定

Ref.AuditTestAuditFindingsTPOK?CompletedXRef:X-Ref:

No.Y/N6：WortOraAvdit

Initial、PaperaPhigini

义的总

•更，的舂数信息，请号专5rnvrSQL

Rfjen-ncf-

•口令参数的果解(见Oeckt：力):

•金㈤僧SWaf/Jj?£t/$EL”“£应留成个整tt值,

MSSW()RD_REUSE_MAX务必说JP成无靛时

UNUMHTD,段如PASSWORD_REUSE_MAX也花成

史的幻.PA*ilW)M)JlEUSE」IME善必0寅成无果

^UXUMfTED.

•段如PASSWORDJtEUSEJIME与

Pl\SSWORn_REUSE_MAX都设置成无束M，即

02不附限使用这些门令资#中的任制个.

•程团PASS^'ORD_RKUSE_MAX由我成DEFAL'I.T.

FASSWORD_REUSE_TIME双寅成更果朝.聊

Orudf优用DEFAULT时作<pntflief中定义的

MSSWORD_REUSE_MAX的数.

•默®KSSWQRD_REUSEJ1ME收取成DEFAVIJ.

ftjMSSVirORI)_RKUSF_MAX出国耀无果状.蝌

Oradf便用DF.FMH.T特tl(pmfile>中定义的

PiViSWORD_REUSE_TIMI：的值.

•育如PMiSWORDJREUSEJlMf.4

PASSWORD_REUSE_MAX郴谡宣成DEFAULT.则

OrU(ie使用定义在DEFWI.T势忸pofik)中的任何

Ref.AuditTestAuditFindingsTPOK?CompletedXRef:X-Ref:

No.Y/N6：WortOraAvdit

Initial、PaperaPhigini

小曲。

.⑥过史帘下列视图：OBA.USERSliDBA_PROHLES.

是否热外用户都已被指足了一小喉的数楙聆特性（1脏）.

从安全官仍处取付一份PDSQL密码也架住袋让出本的招贝

上面在B004d中*定的那悌）.确保通过脚本执行了如F

核出：

»）口令长度至少是6个字杼；

b）”令不施与有关的川户ID相同，

0”令应由字符与数字如合而成；

d）小ft症的加何改变.至少由'3个字符■上次的口令小哦.

曲定安装的缺省密码是否已改变.

活过蜘认卜列改巩.来核自在客户弗与服多器端都配置成在0

录时村传输的密码进行加密：

*）在客户西机碑ORA_ENCRYPT_LOGIN环境箜/改置成

TRUE：

b）il'ft瑞初始化冬收db!ink_cncop<_lopn设匿为TRUE.

松含喘定只有syi与sysm除号使用‘加n'我空间作为它的

籍行的去空间.而关于其他用户.缺密度空间招致2设置为

'3次空间.

注・一N它用户使用SYSTEM之外的衣空间,能够K少数加字

就对软与用户对象使用网一个政抿文件的冰宾.茜舒.不速或

用户软盘放在SYSTR4&营树匕及尊凭使SYSTEM《空间散

K的熊险.与导致数黑卑阂<&潜a柯尊的风险.

Ref.AuditTestAuditFiMingsTeMOK?CompletedXRef!X-Ref:

No.Y/Nby：WortOraAudit

Initial、PaperaPhigint

妻优先保拈SYSTEM太空间干冰,无W片H使其免Elh吉,

确保只有$ys集弓杷、ymm•作为临时表空间.所?f月他用户应

读得Sep'衣空间作为他们的徐时衣空间.

&S：匚假如用户的衣空间没仃明确设盥,用户瞪指定便用

在数岖即期立时指支的缺省通时丧空的.或4在后聚用ALTER

DATABASE念令指£的瓶时衣力制.设fj岐片的映时我弋

闻.兴南步幅身我腕谪i45sy$7T",浅像之靛所讨论的用户

象有亲空间.不建汉把用户融㈱存存SVSTF.M衣汇阀.切外.

格定一个来空间为0对丧空间也谑少了腌时内与真他类型段

之间的文件冲突.

确保所有不成功的已录宠诚都有记录,全世行蚯市与HUB.

艇于安全原因.响认/£否己禁用“SYS”=“SYSTEM■＞帐，；.

注解：过南介OHI.U糜矣前号善门用于索或保护与敌期对泮

理.Oracle安全手朋.SYS,是整外鼓解於鼓右黛〃的

用户,并押ft所市内部时*.而'SYSTEU-则是掖打大部分

时空建立时的初蛤帐号.“定成数抠"初蛤建立,这蛛号

世议不再使用.

RefAuditTc«AuditFindingsTcMOK?CompletedXRef:X-Rcf:

No.Y/N5：WortOraAudit

IruuahPapcnsPhigms

COriK-lr系线安全COM

C(M)IsitaaCOW

C(M)2确保所行定义在Oraelti数抿席中的用户是适当的与合法的.HC(XM

C003数据阵权限■业务要求效,同时遵砧适当的口令掾然.C005

C004戊保£(«有足峙勖护*II业务应用用户的直接访问,提供文竹CO”

C005来证明在应用设计中采取广鲂止对敛先席对象获得宜接访问COM

C006的域下.

C(M)7住解：依靠明支持的应用的特ft与所要求的安全微别.在

COOSOnni,中实施泊安全点也使婚有根大的不效.应用。

C009Owle安今案歧之间的杷汇岩响腌幡分为4杵不政的根丈:

C0I0•完全殿"律“安全系最--用这种/状的应用

con没行她「依总鼓舞库的安个推■.

COI2用户It晋录时曜供的安全危息.用于在较第麻中打

COI3开个会话.喊者认诚一个独立的动住.这类应用

C0I4通常用Ontcle4G/4比虬(truckFintuuiali开发:

•麻©Quk安全系统用于用户认证——应用依冢

-小并行的安外条线来探黑用户的权限.it写特定

我的发里黑鳍范筋所ffZ用内用户.而读或者写数

岖的兖易由应用玄金靠线进行黑鬣.我这抻境况下.

看找访机数据率是私根完聋性假尸重的同E，.

用户能察烧过应用爱全m纵去it或不修边数盘,

•我&OracU安全累施执h对依超率对余收黑的氨&

Ref.AuditTestAuditFindingsTPOK?CompletedXRef:X-Ref:

No.Y/N6：WortOraAvdit

Initial、PaperaPhigini

-大部自做b应用使用运转方式袋代M护,由F

它在。口•"中没置打R理用户帐笃生不琬实的’用

户通过^用的并行安全东线进行人幅与数募捧的

交互是通过一个b淮帐号来认证;

•Onwle安生系烧——过最后外安支类别

是复杂应用的•令特例,察构独立的应用.如

SAP科3,

从安全R协处取用卜列系统视图：

a)DBA.USERS一列示数据陈中陵立的所有用户；

b)DBA_ROI.ES—网亭数觉《中定*的所有角色।

ODBA_ROI.E_PRIVS——列示M沿用户与其他角色的角

色；

附DBA_SYS_PRIVS——的示Mfft用户与角色的系统权

*

e)DBA.TAB.PRIVS一一列示状给用户。角色的对取权

跟(不包含列特定权跟):

CiDBA_COI._PRIVS一一网小机给用户」角色的列格定

以我.

从节C002伏褥的系统视图文科(也就是.DBA_USERS.

DBA_SYS_PRIVS.DBA_ROIT_PRIVS).i£一个什么杀统

杈IBtttt给每个用户的表格,并评侑出个康统权跟徐f的一

ft.

从％C002妖古的系统视图文咨(也就也DBA_USERS.

Ref.AuditTestAuditFiMingsTeMOK?CompletedXRef!X-Ref:

No.Y/Nby：WortOraAudit

Initial、PaperaPhigint

DBA_T/\B_I»RIVS..1>BA_<OL_PR1VS.DBA_ROLt_PRlVS>.

建立一个什么N象权限被配蛉力个用户的表格,井亚估付个对

象权班给广的ifi力性.

通过有关手册指引并与安全官员讨论,确定的个班色与用户名

的H的.特别是那已在很皿权限的用色t5用户名.偷定那些帐

马的所白片.井伍明这些权限的给户是否送当.

在Orxk中,一个角色能够雨裕》给别的用色，虫肿灵活性也

可能号假权限管理的国41.占安会官员•把根合以自明实施了

多少层角色的指定.

抽样管杳用户帐号修妒表格.确定Oracle用户帐号保护的标册

与流程.

业务用户不应该抢/除广直接SELECT衣或，视图之外以K

他时费权限.由于这可能同蔻绛讨要求的际同操姒：

a）只与SELECT权1«能/H接M给用户与购色.别的对*

权IK应该通过在他过程实现.

b）关于PROCEDURE对象.应该只有SELECT与

EXECUTE权限赋给通常州户.

注解：下翁是专注量的坤界感

••个过程是•个樱式对象.ib-iffSQL语句与

Fl4Ql钻电构播.存储4：敷提用中.作为•个做位

执行，以解决-个特定的We或者执行一处有关的

任务,

•存转汉疑能“助J撤强致整安全.你能■遗过只宜

Ref.AuditTestAuditFindingsTPOK?CompletedXRef:X-Ref:

No.Y/N6：WortOraAvdit

Initial、PaperaPhigini

点用户通过过出来访Hit据来限制用户爱解奴行的

政掘冰操作.世如.林骏牌《权论一个用户能癖访

“一个住强去的过程.fH不M权给它访衬衣摹9.

号一个用户注的过餐时,这个过程用过程所育苦的

权限执行.只玄执b过8怕收限的用户（但没我收

力去&议、娃收,或赤期/衣）空强卜过日、纲他

作不^用任柯现拍方式来煤件衣的数树,

R打破爆传权IH的角色（如布用户&K对象卜喇除•修改等）

在建3时应馁仃密码以使UvUh.KQDBA_RO<.ES以便R明是

古为那些侍媒角色设置套码,并保让那些角色没有微定又为缺

省用色.

注解：卜曲是天注态的一些事项:

*'5外用户苒次♦立时,用户缺霄的角色遭

AI.L.这样斯fi箱铉赋给用户^的色取合室於岁命

色：

•假也个依色定义为用户的统整的色,W柱愈色本

公有密科有关.在使用这个角色时也不用隹《求世

供京玛-

从在节C002取得的票统视图,精（也就是.DBA_SYS_PRIVS

rJDBA.ROI.E.PRIVS）.核窗所ff成&f桑筑板眼或甘珀色

的枝枝fft.设有构ADM设置为YE5.

注解：为『赋权•个的色或K条烧权限.授权者应该介潴翅有

（iRANTANYROLE显才GRAHTANYPRIVILEGE的条块杖限.

Ref.AuditTestAuditFindingsTPOK?CompletedXRef:X-Ref:

No.Y/N6：WortOraAvdit

Initial、PaperaPhigini

或者枝拽予他色色或青乐饿叔限的ADMIN速喻

从在节C002取得的系流视18X1予也试型，DBA_TAB_PRIVS

与DBA_C(M._PRIVS),植女只“负黄权卬沱理的安全RSI.

将时蒙权闱GRANTABLE,设咫为YE5.

注鲜，为，•(攵个弑或板累,掇叔看送连笠么是对较所fi占.

娈么是桩发T-/^GRAXTABLE设置为YES咕对象权N・

从在节C002取得的系统视图文6,也直此.

DBA_ROl.E_PRIVS.DBA.SYS.PRIVS.I)BA_TAB_PRIVS

与DRA.COIPRIVS>,确定胤些已母从给PUBLIC的角色与

权限.复审这些H权是否恰当.

注解：沛方而甘.R6/，外衣或用梭用的SELECT权家健就

PUBLIC.

从DBA取得系统视图l)BA_TS_QLK)TAS.l>BA讨论M给

停一个用户的衣空同资源是否适刍.

注凝、验证5f人足额是A篇无要的.*实上标烧取决「东拖坏

4?.适当的髭藤费械苜为分正给桩•个我空间与个钢用户请求

的物碑上间的总的大小.

接AOracleIJuenetit)7•带码以防发权的远界配置.

另外.下外列方式核包liueneroo(OracleListeftcr操姒文件)

的安全配置参数：

ADMINRESTRICTIONSJiMcncr_namc-ON

注解：这件"“油e”r在找时.会防止对Om«kLiuentr疝咨

授权的盲理.

RefAuditTc«AuditFindingsTcMOK?CompletedXRef:X-Rcf:

No.Y/N5：WortOraAudit

IruuahPapcnsPhigms

D操作系统安全D003

DOOID(MM

DOO2确定通过主机操作系统的数据即访问路校是安全的.

DOO3使用DBA.USERS系铳视图（在节C0021K”确定所有的

D004前缴足OPSS（掾作系境传递扮Oracle）的ID,仁性P：机板作系

D005统的登就安仝性,以华保所市ID代表合法与现有的用户.

D006前后参照ini<Systenv1iKlaneell）>.ora文件中与DRA_USERS

系统视图中的OS_AUTHENT_PREFIX与钛,以使确定与亚申

远程认证用户的消中“

注解:OSJUT»ENT_PREFIX推定，TOrmk用户登录服

务器认证时的燕敏.Orwc/r将这个晕数值迪/螺作系统的松号

与海科之前-当收N一个连接请求.Crack就将变前鳗的用户

ggtt粼昨中的Onwk用户X作比较.

酉小曲我会宵"走OPS5.以惬号往常讷版本豪”.然煎.

变H取能是将前缀设置为““（个空申八这杆法铭免去在演

作泵统用户萩依任何重级.

黄制你种念带02的黑号从Wmhz】保站ff录.你很密

幅定他SJ实绿卜是谁.关于终编.你傀然依靠掾作系统的京玛.

而关JWuuiowi..你那不艇这样做-

friufiinit.ontREMOTF._QS_\VTHEHT设看为TRUE.

Orutie黄定远程的操ff系废己认证『这个用户.

ffcfllRt：M（）TF._OSAimENT汉3r为以/.5E.H'用Q汉江咨

Ref.AuditTestAuditFindingsTPOK?CompletedXRef:X-Ref:

No.Y/N6：WortOraAvdit

Initial、PaperaPhigini

日就无法比或〃出EXTERNALLY（让株件镁及Ai£

法蚂》只对本地土机营牧，M样.就妞你使府,OP泞性为你

的爵缀.你将醛iff用或青不用密码&录墓地,再不论你联出为

你的ID指定密姆或中定义它为IDENTIFIEDEXTERNALLY.

通过确定tme_<w_auiheni参数已设M为FALSE.来确保ia

程认比的网络用户不使帔连推到数据味.

注解:G超认证是由6vck绘拱的一个安仝功臃.假如它设为

TRUE.它把用户认注委托蜻连拴列Cnu《e蠡昨的远程客户

战来完成.这样.敬器除目含格信任何域功认证目C的#户蛤.

注:6到害户蛤.通常而含,如尸C机,/常小烧很好施执h■快

作盛拽认证.网忆招述悭认证打开是一个蠢庵拈包的配置.

在一个更安仝的配及中,这个功能&关闭际FALSE'.E.&W

五户湖奋迸行数飘浮连接因使用正微内.疆J；演务黑的认江.

为限鄢远程认H并为时*户埸的信任妥耗给皎据库.

“W<Sm>.om（Ogir爆然式tt瓶事配9"$数应该按过尸夕

式设星

REMOTE_OS_AUTHENT=FALSE

审计UNIX或HNT的Orack文件系统的安介It.以随保用户

受限访向Oxk程序.配置匕件.日志■我空间：

a）破）保所行目录'，文件的见立星CradeDBA图号।

b）确保UN1X/NT的ill林主是31DBA.ORA.DBA:

0确保UNIXII录的许但是755或不更小.NTII录的许可

谀置如下，

Ref.AuditTestAuditFiMingsTeMOK?CompletedXRef!X-Ref:

No.Y/Nby：WortOraAudit