Oracle数据库安全配置规范1概述1.1目的本规范明确了oraclｅ数据库安全配置方面的基本要求。

为了提高oｒacｌe数据库的安全性而提出的。

1.2范围本规范适用于XＸXXＸ适用的oraｃle数据库版本。

2配置标准2.1账号管理及认证授权2.1.1按照用户分配账号[目的]应按照用户分配账号，避免不同用户共享账号。

[具体配置]create user abc1 identifiｅd ｂｙｐasswoｒd1；crｅatｅｕser abc2 iｄentｉｆｉｅｄｂy password2;建立role，并给role授权，把roｌe赋给不同的用户删除无关账号。

[检测操作]2.1.2删除无用账号[目的］应删除或锁定与数据库运行、维护等工作无关的账号。

[具体配置]aｌter user usernamｅｌock;dｒop user uｓername cａscａde;［检测操作]2.1.3限制DBＡ远程登入［目的]限制具备数据库超级管理员（SYSＤＢA）权限的用户远程登录。

[具体配置]1.在spｆile中设置RＥMOTE_LOＧIN_PＡSSＷORDFIＬE=ＮＯNE来禁止SYSDBA用户从远程登陆。

2.在sqlnet.orａ中设置SQLNET.AUTHＥＮＴICATIＯＮ_ＳＥRＶICES=NONE来禁用SYSＤBA角色的自动登入。

[检测操作]1.以Oraｃle用户登入到系统中。

2.以sｑlpｌｕｓ‘/asｓyｓdbａ’登入到sqlpｌｕs环境中。

3.使用shoｗｐarameter 命令来检查参数REMOTE＿ＬOGIN_PASSWORDFＩＬE是否设置为NＯNE。

Show pａrametｅr REMOTE＿LOＧIN_ＰASSWORDF ＩLＥ4.检查在$ＯRACLE＿HOME/netwoｒk/admin/sqｌnet.ora文件参数SQLNＥT.AＵTHENTICATION_SEＲＶICES是否被设置成NＯNE.2.1.4最小权限[目的]在数据库权限配置能力内,根据用户的业务需要，配置其所需的最小权限。

[具体配置]！给用户赋相应的最小权限grant 权限to uｓernamｅ;！收回用户多余的权限revｏke权限from usernａme;[检测操作]2.1.5数据库角色[目的]使用数据库角色（ＲOLE）来管理对象的权限。

［具体配置]1.使用Cｒeate Rｏle命令创建角色。

2.使用Grａnt命令将相应的系统、对象或Roｌe的权限赋予应用用户。

[检测操作］1.以DＢＡ用户登入到sqｌｐlｕs中。

2.通过查询ｄｂa_ｒolｅ_prｉvs、dba_sys_pｒiｖs和dba_taｂ_privs等视图来检查是否使用RＯＬE来管理对象权限。

2.1.6用户属性［目的］对用户的属性进行控制，包括密码策略、资源限制等。

[具体配置]可通过下面类似命令来创建profiｌｅ,并把它赋予一个用户CREAＴE PROＦＩＬＥａpp＿useｒ２LIMＩTFAILＥＤ＿LOGＩN_AＴTＥＭPTS 6PＡSSＷORD＿ＬＩFE＿ＴIME 60PＡSＳＷOＲD_REＵSＥ_TIMＥ６０PＡSSWORD_REUSE_ＭAＸ5PASSWORD_VERIFＹ_FUＮCＴION ｖeｒity_funｃtionＰＡSSWORＤ_LOCＫ＿TIME 1/2４PASＳＷORD＿GRＡCE_ＴIME 90；ＡLTER UＳER ｊd PROFＩLＥapｐ＿useｒ2；！可通过设置ｐrｏｆilｅ来限制数据库账户口令的复杂程度，口令生产周期和账户的锁定方式等。

！可通过设置profile来限制数据库账户的CPU资源占用。

[检测操作]2.1.7数据字典保护［目的]启用数据字典保护,只有ＳYSDBA用户才能访问数据字典基础表。

[具体配置]通过设置下面初始化参数来限制只有SYSＤBA权限的用户才能访问数据字典。

O７_DIＣTIONARY_ACCＥSSＩBILＩTY＝FＡLSＥ［检测操作]以普通dba用户登入到数据库，不能查看X$开头的表，比如:selｅct * from sys，x$ksｐpi；１：以Oｒａｃle用户登入到系统中。

２:以sqlplus ‘／as syｓdba’登入到sｑlplｕs环境中。

3：使用show paｒameter 命令来检查参数O7_DIＣTIONARY＿ACCEＳSIBＩLITY是否设置为FＡLSＥ。

Show ｐaｒａmeter Ｏ7_DICTＩONARY_ＡCCESSIBIＬIＴY2.1.8DBＡ组操作系统用户数量[目的]限制在ＤBA组中的操作系统用户数量，通常DBＡ组中只有Ｏraclｅ安装用户。

[具体配置]通过/etc／ｐasswd 文件来检查是否有其它用户在DBA组中。

[检测操作]无其它用户属于DBＡ组。

或者通过／ｅtc／pasｓｗｄ文件来检查是否有其它用户在ＤBA组中。

2.2口令2.2.1口令复杂度［目的]对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

[具体配置］为用户建profile,调整ＰＡＳSOWＲD_VERIＦY_ＦＵNCTIＯＮ,指定密码复杂度[检测操作]修改密码为不符合要求的密码,将失败。

Alter user ａｂcd1 idｅｎtifieｄby abcｄ1；将失败2.2.2口令期限［目的]对于采用静态口令认证技术的数据库,账户口令的生存期不长于９0天。

[具体配置］为用户建相关pｒofiｌe，指定ＰASSＷＯRＤ_GＲAＣE_ＴＩＭE为90天。

[检测操作］到期不修改密码，密码将会失败。

连接数据库将不会成功coｎｎｅct username/ｐａｓｓwoｒd报错2.2.3口令历史[目的］对于采用静态口令认证技术的数据库，应配置数据库,使用户不能重复使用最近5次(含5次）内使用的口令。

［具体配置]为用户建profｉle,指定PASSＷOＲD_ＲEUSE_MAX为5[检测操作］alter usｅr ｕsernａme ｉｄentifiｅd by pasｓwoｒd;如果paｓswｏrd1在５次修改密码内被使用，改操作将不成功。

2.2.4失败登录次数[目的]对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过6次(不含６次），锁定该用户使用的账号。

[具体配置]为用户建proｆｉlｅ，指定FAIＬＥＤ_ＬOＧＩN_AＴTEＭPTS为6［检测操作]coｎnecｔuseｒｎame/ｐassword,连续6次失败，用户被锁定。

连续６次用错误的密码连接用户，第7次时用户将被锁定。

2.2.5默认账号的密码[目的]更改数据库默认账号的密码。

[具体配置]AＬTＥR ＵSＥR XXX IＤENTIＦIED ＢY XＸＸ; 下面是默认用户列表:AＮONYＭOUSCTXＳYＳDBＳNMPＤIPDMSYSEXＦSYＳHRLBACSYＳＭDDATAMＤSYSＭGMT_VＩEWODＭODM_ＭTROEＯLAPSＹSORDPＬUGINSＯＲＤSYSOUTLNPMQSQS＿AＤMQS_CBQS＿CBAＤMQＳ_CＳQS_ＥＳQS＿OＳQS_WSRＭAＮＳＣＯＴTSHSI_IＮＦＯRMTＮ_SCHＥMA ＳＹＳSYSＭＡNSYSTＥMTSＭSYSＷK_TＥSＴWKPRＯXYWＫSYSＷMＳYＳXＤB[检测操作］不能以用户名作为密码或使用默认密码的账户登入到数据库。

或者1.以DBA用户登入到sqｌｐlus中。

2.检查数据库默认账户是否使用了用户名作为密码或默认密码。

2.2.6遵循操作系统账号策略[目的]Oraｃle软件账户的访问控制可遵循操作系统账户的安全策略，比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。

[具体配置]使用操作系统以及的账户安全管理来保护Oｒａcｌｅ软件账户。

[检测操作]每3个月自动提示更改密码,过期后不能登入。

每3个月强制修改Oraｃlｅ软件账户密码，并且密码需要满足一定的复杂程度,符合操作系统的密码需要。

2.3日志2.3.1登录日志[目的]数据库应配置日志功能,对用户登入进行记录，记录内容包括用户登入使用的账号、登入是否成功、登入时间以及远程登入时使用的IP地址。

[具体配置]创建ＯRＡＣLE登入触发器,记录相关信息，但对IP地址的记录会有困难1.建表ＬOＧON_TＡＢLE2.建触发器ＣＲＥATE TＲIGGER TRＩ_LＯＧONAFTER LOGＯＮON DＡTＡBASEBEGINIＮＳＥRＴINTO LOGON_ＴABLE VAＬUＥＳ（SYS_CONTEXT(‘USERENV’,’S ＥＳSIＯＮ_USＥR’)，SＹSDATE)；EＮＤ;触发器与AUＤIT会有相应资源开消,请检查系统资源是否充足。

特别是RAC 环境,资源消耗较大。

[检测操作]2.3.2操作日志[目的]数据库应该配置日志功能,记录用户对数据库的操作,包括但不限于以下内容:账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。

记录需要包含用户账号，操作时间,操作内容以及操作结果。

[具体配置］创建ＯＲＡＣLＥ登入触发器,记录相关信息，但对IP地址的记录会有苦难1．建表LOGOＮ＿TABＬＥ2．建触发器ＣRＥＡTE TRＩGGＥR TＲI_LOGＯNＡFTER ＬOGＯN ON DＡTABＡSEBEGＩNIＮSＥRT INTＯLＯGOＮ_TABＬＥVALＵES （SYS＿CONＴEXT(‘USEＲENV’,’SESSIO＿UＳＥR’),SYSＤATE）；ＥND;#触发器与ＡUDIＴ会有相应资源开消，请检查系统资源是否充足。

特别是RAＣ环境,资源消耗较大。

[检测操作]2.3.3安全事件日志[目的］数据库应配置日志功能,记录对与数据库相关的安全事件。

[具体配置]创建ＯＲACＬE登入触发器,记录相关信息,但对IP地址的记录会有困难1.建表LOGＯN＿TABlE2.建触发器ＣREAＴE ＴRIGGEＲTＲＩ＿LOGONＡFＴＥR LOGON OＮDATABＡSＥBＥGIＮINSＥＲT INTO LＯGON_ＴAＢLE ＶＡLUES （ＳYＳ_ＣONＴEＸＴ(‘USER ＥNV’,’ＳＥＳSＩOＮ_USEＲ’)，SＹSDAＴE);ＥND；触发器与AUDIT会有相应的资源开消,请检查系统资源是否充足。

特别是RAC 环境，资源消耗较大。

[检测操作]2.3.4数据库审计策略［目的]根据业务要求制定数据库审计策略。

［具体配置]1.通过设置参数aｕdit_traｉl＝ｄb或os来打开数据库审计。

2.然后可以使用Ａuｄit命令对相应的对象进行审计设置。

[检测操作]对审计的对象进行一次数据库操作，检查操作是否被记录。