資源描述:
《oracle數(shù)據(jù)庫(kù)安全配置手冊(cè)》由會(huì)員上傳分享��,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)����。
1����、Oracle數(shù)據(jù)庫(kù)安全配置手冊(cè)Version1.0版本控制版本號(hào)日期參與人員更新說(shuō)明1.020131217王峰目錄第一章目的與范圍11.1目的11.2適用范圍11.3數(shù)據(jù)庫(kù)類型1第二章數(shù)據(jù)庫(kù)安全規(guī)范12.1操作系統(tǒng)安全12.2帳戶安全22.3密碼安全22.4訪問(wèn)權(quán)限安全22.5日志記錄32.6加密32.7管理員客戶端安全32.8安全補(bǔ)丁32.9審計(jì)3第三章數(shù)據(jù)庫(kù)安全配置手冊(cè)43.1Oracle數(shù)據(jù)庫(kù)安全配置方法43.1.1基本漏洞加固方法43.1.2特定漏洞加固方法12第一章目的與范圍1.1目的為了加強(qiáng)寶付的
2、數(shù)據(jù)安全管理��,全面提高寶付各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全水平�,保證業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)��,提高業(yè)務(wù)服務(wù)質(zhì)量���,特制定本方法�����。本文檔旨在于規(guī)范寶付對(duì)各業(yè)務(wù)系統(tǒng)的Oracle數(shù)據(jù)庫(kù)進(jìn)行安全加固處理�����。1.2適用范圍本手冊(cè)適用于對(duì)寶付公司的各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)系統(tǒng)加固進(jìn)行指導(dǎo)��。1.3數(shù)據(jù)庫(kù)類型數(shù)據(jù)庫(kù)類型為Oracle11g�����。第二章數(shù)據(jù)庫(kù)安全規(guī)范2.1操作系統(tǒng)安全要使數(shù)據(jù)庫(kù)安全��,首先要使其所在的平臺(tái)和網(wǎng)絡(luò)安全�。然后就要考慮操作系統(tǒng)的安全性。Oracl第16頁(yè)共32頁(yè)e使用大量用戶不需要直接訪問(wèn)的文件����。例如,數(shù)據(jù)文件和聯(lián)機(jī)重做日志文件只能
3�����、通過(guò)Oracle的后臺(tái)進(jìn)程進(jìn)行讀寫(xiě)����。因此,只有要?jiǎng)?chuàng)建和刪除這些文件的數(shù)據(jù)庫(kù)管理員才需要在操作系統(tǒng)級(jí)直接訪問(wèn)它們�。導(dǎo)出轉(zhuǎn)儲(chǔ)文件和其他備份文件也必須受到保護(hù)����?��?梢园褦?shù)據(jù)復(fù)制到其他數(shù)據(jù)庫(kù)上���,或者是作為復(fù)制模式的一部分,或者是提供一個(gè)開(kāi)發(fā)數(shù)據(jù)庫(kù)�����。若要保護(hù)數(shù)據(jù)的安全��,就要對(duì)數(shù)據(jù)所駐留的每一個(gè)數(shù)據(jù)庫(kù)及這些數(shù)據(jù)庫(kù)的備份進(jìn)行保護(hù)����。如果某人能從含有你的數(shù)據(jù)備份的數(shù)據(jù)庫(kù)中帶走備份磁帶,那么你在數(shù)據(jù)庫(kù)中所做的全部保密工作就失去意義�。必須防止對(duì)全部數(shù)據(jù)備份的非法訪問(wèn)�。2.2帳戶安全為了避免數(shù)據(jù)庫(kù)帳戶大量耗費(fèi)系統(tǒng)資源,影響其它用戶的正
4�、常訪問(wèn),可以根據(jù)應(yīng)用的實(shí)際需要���,對(duì)數(shù)據(jù)庫(kù)帳戶所使用的資源(如CPU等)進(jìn)行限制����。這樣可以控制惡意攻擊者發(fā)起大量的連接及事務(wù)破壞數(shù)據(jù)庫(kù)系統(tǒng)的正常運(yùn)行,限制數(shù)據(jù)庫(kù)帳戶的系統(tǒng)資源可以用profile實(shí)施�。此外,數(shù)據(jù)庫(kù)創(chuàng)建后���,會(huì)存在一些內(nèi)建的帳戶,這些帳戶都有初始密碼�。出于安全的考慮,需要修改這些內(nèi)建帳戶的初始密碼���,防止惡意攻擊者以眾所周知的初始密碼登錄數(shù)據(jù)庫(kù)��。另外�����,對(duì)不使用的帳戶應(yīng)鎖定��,消除帳戶安全隱患�����。2.3密碼安全用戶登錄數(shù)據(jù)庫(kù)的密碼非常重要�,一旦密碼被竊聽(tīng)���,數(shù)據(jù)庫(kù)的安全就面臨嚴(yán)重的威脅。從Oracle7.1開(kāi)
5�、始,client遠(yuǎn)程連接數(shù)據(jù)庫(kù)�����,OracleNet會(huì)自動(dòng)對(duì)通過(guò)網(wǎng)絡(luò)傳輸?shù)牡卿浢艽a進(jìn)行加密�����,保證密碼不被明文傳輸而被竊聽(tīng)�����。在Oracle7.1之前,可在sqlnet.ora中設(shè)置ora_encrypt_login=true�����。此外�����,對(duì)密碼進(jìn)行嚴(yán)格的管理����?���?梢允褂胮rofile來(lái)管理口令的終止、重新使用和復(fù)雜性�。例如,可以限制一個(gè)口令的壽命��、鎖定口令過(guò)舊的帳戶等��。也可以強(qiáng)制一個(gè)口令至少有一定程度的復(fù)雜性并鎖定一個(gè)多次注冊(cè)失敗的帳戶����。這樣可以有效地防止黒客猜測(cè)帳戶口令�,減少口令安全隱患。2.4訪問(wèn)權(quán)限安全對(duì)帳戶的訪問(wèn)
6����、權(quán)限進(jìn)行嚴(yán)格控制����,給予帳戶需要的最少權(quán)限���,包括系統(tǒng)權(quán)限和對(duì)象權(quán)限�。對(duì)象權(quán)限可以實(shí)施到數(shù)據(jù)庫(kù)對(duì)象的字段級(jí)別����。第16頁(yè)共32頁(yè)2.5日志記錄Oracle的警告日志alertsid.log里記錄有數(shù)據(jù)庫(kù)的關(guān)鍵活動(dòng),如刪除表空間等�����,出于安全的考慮����,需有規(guī)律地檢查警告日志。2.6加密為了保證敏感數(shù)據(jù)從client到server在傳輸過(guò)程中不被竊聽(tīng)�����,可以對(duì)數(shù)據(jù)進(jìn)行加密,以密文進(jìn)行傳輸����。2.7管理員客戶端安全為了防止惡意用戶冒名頂替管理員從遠(yuǎn)端客戶機(jī)連接數(shù)據(jù)庫(kù)進(jìn)行破壞�����,可以對(duì)遠(yuǎn)端數(shù)據(jù)庫(kù)的IP地址進(jìn)行限定��。當(dāng)然這種方法如果和
7��、網(wǎng)絡(luò)安全一起實(shí)施�����,會(huì)更加安全����。2.8安全補(bǔ)丁Oracle雖然具有很高的安全性,但是不可避免還是有安全漏洞��,一個(gè)比較安全的辦法是時(shí)刻關(guān)注Oracle的安全公告����,并及時(shí)安裝安全補(bǔ)丁。安全公告和補(bǔ)丁位置如下:http://otn.oracle.com/deploy/security/alerts.htm2.9審計(jì)第16頁(yè)共32頁(yè)出于數(shù)據(jù)庫(kù)的安全,需要實(shí)施審計(jì)以跟蹤重要的或可疑的數(shù)據(jù)庫(kù)活動(dòng)��。審計(jì)通常被認(rèn)為是最有效的安全機(jī)制�����,它確保系統(tǒng)的合法用戶做他們應(yīng)該做的事情����,并且能夠阻止用戶濫用或誤用訪問(wèn)權(quán)限。通過(guò)審計(jì)����,一個(gè)公司
8、可以跟蹤其各個(gè)用戶的活動(dòng)�����,從而發(fā)現(xiàn)安全上的缺陷����。另外,如果用戶知道他們正在被跟蹤審計(jì)�����,那么就可能降低他們?yōu)E用職權(quán)的可能性。因?yàn)閭鹘y(tǒng)型的審計(jì)產(chǎn)生數(shù)量極大的數(shù)據(jù)���,所以這就很難從中發(fā)現(xiàn)有用的信息�����,因此,Oracle9i引進(jìn)了精確細(xì)化的審計(jì)�。使用這種廣泛精確細(xì)化的審計(jì),可以更容易地發(fā)現(xiàn)安全缺陷��。例如�,如果為重復(fù)選擇社會(huì)身份認(rèn)證號(hào)碼制定了一條審計(jì)策略,則當(dāng)重復(fù)選擇該社會(huì)身份認(rèn)證號(hào)碼時(shí)���,就會(huì)自動(dòng)發(fā)生警報(bào)�,以警告
