目 录
1 概述 4
1.1 适用范围 4
1.2 内部适用性说明 4
1.3 外部引用说明 5
1.4 术语和定义 5
1.5 符号和缩略语 5
2 ORACLE安全配置要求 5
2.1 账号 6
2.2 口令 10
2.3 日志 14
2.4 其他 17
1 概述
1.1 适用范围
本规范明确了Oracle数据库安全配置方面的基本要求。
1.2 符号和缩略语
缩写 | 英文描述 | 中文描述 |
DBA | Database Administrator | 数据库管理员 |
VPD | Virtual Private Database | 虚拟专用数据库 |
OLS | Oracle Label Security | Oracle标签安全 |
2 ORACLE安全配置要求
本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求,在未特别说明的情况下,均适用于ORACLE数据库。
本规范从ORACLE数据库的认证授权功能、安全日志功能,和其他自身安全配置功能提出安全要求。
2.1 账号
ORACLE应提供账号管理及认证授权功能,并应满足以下各项要求。
2.1.1 按用户分配帐号
要求内容 | 应按照用户分配账号,避免不同用户间共享账号。 |
操作指南 | 1、 参考配置操作 create user abc1 identified by password1; create user abc2 identified by password2; 建立role,并给role授权,把role赋给不同的用户 2、 补充操作说明 1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称; |
检测方法 | 3、 判定条件 不同名称的用户可以连接数据库 4、 检测操作 connect abc1/password1连接数据库成功 5数据库管理员英文、补充说明 |
2.1.2 删除或锁定无关帐号
要求内容 | 应删除或锁定与数据库运行、维护等工作无关的账号。 |
操作指南 | 1、 参考配置操作 alter user username lock; drop user username cascade; 2、 补充操作说明 |
检测方法 | 3、 判定条件 首先锁定不需要的用户 在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除 4、检测操作 5、补充说明 |
2.1.3 限制SYSDBA用户的远程登录
要求内容 | 限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。 |
操作指南 | 1、参考配置操作 1. 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。 2. 在a中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用 SYSDBA 角的自动登录。 2、补充操作说明 |
检测方法 | 3、判定条件 1. 不能通过Sql*Net远程以SYSDBA用户连接到数据库。 2. 在数据库主机上以sqlplus ‘/as sysdba’连接到数据库需要输入口令。 4、检测操作 1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。 Show parameter REMOTE_LOGIN_PASSWORDFILE 4. 检查在$ORACLE_HOME/network/a文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。 5、补充说明 |
2.1.4 用户权限最小化
要求内容 | 在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 |
操作指南 | 1、 参考配置操作 grant 权限 to username; revoke 权限 from username; 2、 补充操作说明 用第一条命令给用户赋相应的最小权限 用第二条命令收回用户多余的权限 |
检测方法 | 3、 判定条件 业务测试正常 4、 检测操作 业务测试正常 5、补充说明 |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论