資源描述:
《Oracle數(shù)據(jù)庫安全配置規(guī)范.pdf》由會員上傳分享��,免費在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、Oracle數(shù)據(jù)庫安全配置規(guī)范Oracle數(shù)據(jù)庫安全配置規(guī)范1.概述1.1.目的本規(guī)范明確了Oracle數(shù)據(jù)庫安全配置方面的基本要求��。為了提高Oracle數(shù)據(jù)庫的安全性而提出的��。1.2.范圍本規(guī)范適用于XXXX使用的Oracle數(shù)據(jù)庫版本����。Page1of11Oracle數(shù)據(jù)庫安全配置規(guī)范2.配置標(biāo)準(zhǔn)2.1.帳號管理及認證授權(quán)2.1.1.按照用戶分配帳號【目的】應(yīng)按照用戶分配賬號,避免不同用戶間共享賬號�。【具體配置】createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;
2����、建立role,并給role授權(quán)��,把role賦給不同的用戶刪除無關(guān)帳號2.1.2.刪除無用帳號【目的】應(yīng)刪除或鎖定與數(shù)據(jù)庫運行����、維護等工作無關(guān)的賬號?����!揪唧w配置】alteruserusernamelock;dropuserusernamecascade;2.1.3.限制DBA遠程登錄【目的】限制具備數(shù)據(jù)庫超級管理員(SYSDBA)權(quán)限的用戶遠程登錄����。【具體配置】1.在spfile中設(shè)置REMOTE_LOGIN_PASSWORDFILE=NONE來禁止SYSDBA用戶從遠程登陸��。2.在sqlnet.ora中設(shè)置SQLNET.AUTHENTICATION_SER
3���、VICES=NONE來禁用SYSDBA角色的自動登錄���。【檢測操作】1.以O(shè)racle用戶登陸到系統(tǒng)中��。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中���。3.使用showparameter命令來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE是否設(shè)置為NONE�����。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.檢查在$ORACLE_HOME/network/admin/sqlnet.ora文件中參數(shù)SQLNET.AUTHENTICATION_SERVICES是否被設(shè)置成NONE�����。Page2of11O
4���、racle數(shù)據(jù)庫安全配置規(guī)范2.1.4.最小權(quán)限【目的】在數(shù)據(jù)庫權(quán)限配置能力內(nèi)����,根據(jù)用戶的業(yè)務(wù)需要�����,配置其所需的最小權(quán)限�。【具體配置】�!給用戶賦相應(yīng)的最小權(quán)限grant權(quán)限tousername;!收回用戶多余的權(quán)限r(nóng)evoke權(quán)限fromusername;2.1.5.數(shù)據(jù)庫角色【目的】使用數(shù)據(jù)庫角色(ROLE)來管理對象的權(quán)限���?����!揪唧w配置】1.使用CreateRole命令創(chuàng)建角色��。2.使用用Grant命令將相應(yīng)的系統(tǒng)�、對象或Role的權(quán)限賦予應(yīng)用用戶���?!緳z測操作】1.以DBA用戶登陸到sqlplus中���。2.通過查詢dba_role_privs�����、dba_sy
5����、s_privs和dba_tab_privs等視圖來檢查是否使用ROLE來管理對象權(quán)限�����。2.1.6.用戶屬性【目的】對用戶的屬性進行控制��,包括密碼策略�、資源限制等?���!揪唧w配置】可通過下面類似命令來創(chuàng)建profile,并把它賦予一個用戶CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIM
6�����、E1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;����!可通過設(shè)置profile來限制數(shù)據(jù)庫賬戶口令的復(fù)雜程度�,口令生存周期和賬戶的鎖定方式等����。!可通過設(shè)置profile來限制數(shù)據(jù)庫賬戶的CPU資源占用�。Page3of11Oracle數(shù)據(jù)庫安全配置規(guī)范2.1.7.數(shù)據(jù)字典保護【目的】啟用數(shù)據(jù)字典保護,只有SYSDBA用戶才能訪問數(shù)據(jù)字典基礎(chǔ)表�。【具體配置】通過設(shè)置下面初始化參數(shù)來限制只有SYSDBA權(quán)限的用戶才能訪問數(shù)據(jù)字典�。O7_DICTIONARY_ACCESSIBILITY=FALSE【檢測操作
7、】以普通dba用戶登陸到數(shù)據(jù)庫����,不能查看X$開頭的表,比如:select*fromsys.x$ksppi;1.以O(shè)racle用戶登陸到系統(tǒng)中�。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。3.使用showparameter命令來檢查參數(shù)O7_DICTIONARY_ACCESSIBILITY是否設(shè)置為FALSE�����。ShowparameterO7_DICTIONARY_ACCESSIBILITY2.1.8.DBA組操作系統(tǒng)用戶數(shù)量【目的】限制在DBA組中的操作系統(tǒng)用戶數(shù)量����,通常DBA組中只有Oracle安裝用戶�����?��!揪唧w配置】通過/etc/
8、passwd文件來檢查是否有其它用戶在DBA組中�����?�!緳z測操作】無其
