回退方案
还原添加或删除的权限
判断依据
业务测试正常
实施风险
高
重要等级
★
备注
1.1.5SHG-Oracle-01-01-05
［编号
SHG-Oracle-01-01-05
名称
数据库角色
实施目的
使用数据库角色（ROLE）来管理对象的权限。
在spfile中设
置
REMOTE_LOGIN_PASSWORDFILE=NONE来
禁止
实施步骤
SYSDBA用户从远程登陆。在sqlnet.ora
中设置
SQLNET.AUTHENTICATION_SERVICES=NONE
来禁用
SYSDBA角色的自动登录。
回退方案
还原spfile,sqInet.ora文件配置
实施风险
高
重要等级
★★★
备注
1.1.4SHG-Oracle-01-01-04
编号
SHG-Oracle-01-01-04
名称
权限最小化
实施目的
在数据库权限配置能力内，根据用户的业务需要，配置其所 需的最小权限。
问题影响
账号权限越大,对系统的威胁性越高
系统当前状态
select * from user sys privs;
Oracle数据库系统加固规范
1账号管理、认证授权1
1.1账号1.…
1.1.1SHG-Oracle-01-01-011.…
1.1.2SHG-Oracle-01-01-022…
1.1.3SHG-Oracle-01-01-033…
1.1.4SHG-Oracle-01-01-044.…
1.1.5SHG-Oracle-01-01-055.…
REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。
Show parameter REMOTE_LOGIN_PASSWORDFILE
4.检查在
$ORACLE_HOME/network/admi n/sql net.ora文件中参
数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。
系统当前状态
select*fromall_users;
select*fromdba_users;
记录用户列表
实施步骤
1、参考配置操作
create user abc1 ide ntified by password^
create user abc2 identified by password2;
建立role，并给role授权，把role赋给不同的用户
备注
1.1.3SHG-Oracle-01-01-03
编号
SHG-Oracle-01-01-03
名称
限制超级管理员远程登录
实施目的
限制具备数据库超级管理员（SYSDBA）权限的用户远程登' J录0。
问题影响
允许数据库超级管理员远程非法登陆
系统当前状态
查看spfile,sqInet.ora内容
1、参考配置操作
1.2.3SHG-Oracle-01-02-0314..
1.2.4SHG-Oracle-01-02-04.15..
1.2.5SHG-Oracle-01-02-05.16..
2日志配置18
2.1.1SHG-Oracle-02-01-0118..
2.1.2SHG-Oracle-02-01-022.1..
记录用户列表
实施步骤
1、参考配置操作
alter user user name lock;//锁定用户
drop user user name cascade;//删除用户
回退方案
删除新增加的帐户
判断依据
首先锁定不需要的用户
在经过一段时间后，确认该用户对业务确无影响的情况下，
可以删除
实施风险
高
重要等级
★★★
select * from user_role_privs; select * from user_tab_privs;
记录用户拥有权限
实施步骤
1、参考配置操作
grant权限to user name;
revoke权限from user name;
2、补充操作说明
用第一条命令给用户赋相应的最小权限 用第二条命令收回用户多余的权限
实施风险
高
重要等级
★★★
备注
1.1.2SHG-Oracle-01-01-02
编号
SHG-Oracle-01-01-02
名称
删除或锁定无效账号
实施目的
删除或锁定无效的账号，减少系统安全隐患。
问题影响
允许非法利用系统默认账号
系统当前状态
select*fromall_users;
select*fromdba_users;
判断依据
判定条件
1.不能通过Sql*Net远程以SYSDBA用户连接到数据库。
2.在数据库主机上以sqlplus/as sysdba连接到数据
库需要输入口令。
检测操作
1.以Oracle用户登陆到系统中。
2.以sqlplus'/as sysdba'登陆至U sqlplus环境中。
3.使用show parameter命令来检查参数
2.1.3SHG-Oracle-02-01-0322..
2.1.4SHG-Oracle-02-01-0424..
3通信协议25
3.1.1SHG-Oracle-03-01-0125..
3.1.2SHG-Oracle-03-01-0226..
4设备其他安全要求28
4.1.1SHG-Oracle-04-01-0128..
4.1.2S
1.1.1 SHG-Oracle-O1-O1-O1
编号
SHG-Oracle-01-01-01
名称
为不同的管理员分配不同的账号
实施目的
应按照用户分配账号，避免不同用户间共享账号，提高安全
性。
问题影响
账号混淆，权限不明确，存在用户越权使用的可能。
2、补充操作说明
1、abc1和abc2是两个不同的账号名称，可根据不同用户， 取不同的名称；
回退方案
删除用户：例如创建了一个用户A，要删除它可以这样做
connect sys/密码as sysdba;
drop user A cascade;//就这样用户就被删除了
判断依据
标记用户用途，定期建立用户列表，比较是否有非法用户
1.1.6SHG-Oracle-01-01-067....
1.1.7SHG-Oracle-01-01-078....
1.1.8SHG-Oracle-01-01-08.10..
1.2口令.1.1....
1.2.1SHG-Oracle-01-02-011.1..
1.2.2SHG-Oracle-01-02-0212..