Oracle數(shù)據(jù)庫系統(tǒng)平安配置基線

中國移動通信管理信息系統(tǒng)部

2023年4月

版本版本限制信息更新日期更新人審批人

創(chuàng)立2023年I月

V更新2023年4月

備注：

1.假設(shè)此文檔須要日后更新，請創(chuàng)立人填寫版本限制表格，否則刪除版本限制表格。

目錄

第1章概述.......................................4

目的......................................................................4

適用范圍.................................................................4

適用版本.................................................................4

實施......................................................................4

例外條款.................................................................4

第2章帳號.......................................5

帳號平安..................................................................5

刪除不必要帳號東.................................................5

限制超級管理員遠程登錄*.........................................5

用戶屬性限制.....................................................6

數(shù)據(jù)字典訪問權(quán)限................................................6

TNS登錄IP限制*................................................7

第3章口令....................................8

口令平安..................................................................8

帳號口令的生存期................................................8

重復(fù)口令運用.....................................................8

認證限制*........................................................9

更改默認帳號密碼................................................9

密碼更改策略....................................................10

密碼困難度策略..................................................10

第4章日志...................................................12

日志審計.................................................................12

數(shù)據(jù)庫審計謀略*.................................................12

第5章其他......................................................13

其他配置.................................................................13

設(shè)置監(jiān)聽器密碼..................................................13

加密數(shù)據(jù)*.......................................................13

第6章評審與修訂................................................14

第1章概述

1.1目的

本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護管理的ORACLE數(shù)據(jù)庫系統(tǒng)應(yīng)當(dāng)遵循的

數(shù)據(jù)庫平安性設(shè)置標準，本文檔旨在指導(dǎo)數(shù)據(jù)庫管理人員進展ORACLE數(shù)據(jù)庫系統(tǒng)的平安

配置。

1.2適用范圍

本配置標準的運用者包括：數(shù)據(jù)庫管理員、應(yīng)用管理員、網(wǎng)絡(luò)平安管理員。

本配置標準適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的

ORACLE數(shù)據(jù)庫系統(tǒng)。

1.3適用版本

ORACLE數(shù)據(jù)庫系統(tǒng)。

1.4實施

本標準的說明權(quán)和修改權(quán)屬于中國移動集團管理信總系統(tǒng)部，在本標準的執(zhí)行過程中假

設(shè)有任何疑問或建議，應(yīng)剛好反應(yīng)。

本標準發(fā)布之日起生效。

1.5例外條款

欲申請本標準的例外條款，申請人必需打算書面申請文件，說明業(yè)務(wù)需求和緣由，送交

中國移動通信管理信息系統(tǒng)部進展審批備案。

第2章帳號

2.1帳號平安

2.1.1刪除不必要帳號*

平安基線工

數(shù)據(jù)庫管理系統(tǒng)Oracle刪除不必要帳號平安基線要求項

程名稱

平安基線編

SBL-Oracle-02-Ol-Ol

號

平安基線項應(yīng)刪除或鎖定與數(shù)據(jù)庫運行、維護等工作無關(guān)的帳號。

說明

檢測操作步首先鎖定不須要的用戶

驟

在經(jīng)過一段時間后，確認該用戶對業(yè)務(wù)確無影響的狀況下，可以刪除

基線符合性結(jié)合要求和實際業(yè)務(wù)狀況推斷符合要求，刪除或鎖定與設(shè)備運行、維廣等與

判定依據(jù)工作無關(guān)的帳號。

備注手工推斷

2.1.2限制超級管理員遠程登錄

平安基線工

數(shù)據(jù)庫管理系統(tǒng)Oracle遠程登錄平安基線要求項

程名稱

平安基線編SBL-Oracle-02-01-02

號

平安基線項

限制具備數(shù)據(jù)庫超級管理員(SYSDBA)權(quán)限的用戶遠程登錄。

說明

檢測操作步1.以O(shè)racle用戶登陸到系統(tǒng)中。

驟

2.以sqlphis7assysdba,登陸到sqlplus環(huán)境中。

3.運用showparameter吩咐來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE

設(shè)置。

ShowparameterREMOTE_LOGIN_PASSWORDFILE

o

基線符合性I.參數(shù)REMOTE_LOGIN_PASSWORDFILE設(shè)置為NONE;（限制遠程登

判定依據(jù)錄）

2.sqlnet.ora文件中參數(shù)SQLNET.AUTHENTICATION_SERVICES設(shè)置成

NONE;（限制本地帳號權(quán)限登錄）

備注依據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，那么強制要求此項。例外

狀況：

假設(shè)存在rman備份，有從遠程發(fā)起的備份，比方：connect

sys/***@crmdb11assysdba需重點確認是否有影響。

2.L3用戶屬性限制

平安基線工數(shù)據(jù)庫管理系統(tǒng)Oracle用戶屬性限制策略平安基線要求項

程名稱

平安基線編SBL-Oracle-02-01-03

號

平安基線項對用戶的屬性進展限制，主要為密碼策略。

說明

檢測操作步1.以DBA用戶登陸到sqlplus中。

驟

2.查詢視圖dba_profiles和dba_usres來檢查profile是否創(chuàng)立。

基線符合性帳號口令的困難程度，口令生存周期和帳號的鎖定方式等。

判定依據(jù)

備注

2.1.4數(shù)據(jù)字典訪問權(quán)限

平安基線工數(shù)據(jù)庫管理系統(tǒng)Oracle數(shù)據(jù)字典訪問權(quán)限策略平安基線要求項

程名稱

平安基線編SBL-Oracle-02-01-04

號

平安基線項啟用數(shù)據(jù)字典愛護，只有SYSDBA權(quán)限用戶才能訪問數(shù)據(jù)字典根底表。

說明

檢測操作步1.以O(shè)racle用戶登陸到系統(tǒng)中。

驟

2.以sqlplus'/assysdba,登陸到sqlphis環(huán)境中。

3.運用showparameter吩咐來檢查參數(shù)O7」)ICTK)NARY_ACCESS【B1LITY

基線符合性參數(shù)O7_DICTIONARY_ACCESSIBILITY是否設(shè)置為FALSE

判定依據(jù)

備注

2.1.5TNS登錄IP限制

平安基線工數(shù)據(jù)庫管理系統(tǒng)Oracle數(shù)據(jù)字典訪問權(quán)限策略平安基線要求項

程名稱

平安基線編SBL-Oraclc-02-01-05

號

平安基線項通過數(shù)據(jù)庫所在操作系統(tǒng)或防火墻限制，只有信任的IP地址才能通過監(jiān)聽器

說明訪問數(shù)據(jù)庫C

檢測操作步1.參考配置操作

驟只需在效勞器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中設(shè)

置以下行：

tcp.validnode_checking=yes

tcp.invitednodes=(ipl,ip2...)

2、補充"作說明

假如網(wǎng)絡(luò)層已經(jīng)做過訪問限制，該項為可選項，否則為必選項

可信內(nèi)網(wǎng)地址指：專用維護終端、訪問數(shù)據(jù)庫應(yīng)用效勞器、堡壘機，

其他地址段制止。

基線符合性1、判定條件

判定依據(jù)在非信任的客戶端以數(shù)據(jù)庫帳號登陸被提示拒絕。

2、檢測操作

檢查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否設(shè)置參數(shù)

tcp.validnode_checking和。

備注依據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，那么強制要求此項。

第3章口令

3.1口令平安

3.1.1帳號口令的生存期

平安基線工數(shù)據(jù)庫管理系統(tǒng)Oracle帳號口令生存期平安基線要求項

程名稱

平安基線編SBL-Oracle-03-Ol-Ol

號

平安基線項對于采納靜態(tài)口令認證技術(shù)的數(shù)據(jù)庫，帳號口令的生存期不長于90天。

說明

檢測操作步1.以O(shè)racle用戶登陸到系統(tǒng)中。

驟

2.以sqlplus'/assysdba'登陸到sqlplus環(huán)境中。

3、執(zhí)行selectlimitfromdba_profileswhere

resource_name='PASSWORD_LIFE_TIMEandpro(selectprodba_userswhere

account_stalus='OPEN'

基線符合性查詢結(jié)果中PASSWORD_LIFE_TIME小于等于90。

判定依據(jù)

備注

3.1.2重復(fù)口令運用

平安基線工數(shù)據(jù)庫管理系統(tǒng)Oracle重復(fù)口令的運用策略平安基線要求項

程名稱

平安基線編SRL-Oracle-03-Ol-O?

號

平安基線項對于采納靜態(tài)口令認證技術(shù)的數(shù)據(jù)庫，應(yīng)配置數(shù)據(jù)庫，運用戶不能重復(fù)運用

說明

最近5次（含5次）內(nèi)已運用的口令。

檢測操作步1.以O(shè)racle用戶登陸到系統(tǒng)中。

驟

2.以sqlplus'/assysdba'登陸到sqlplus環(huán)境中。

3.執(zhí)行selectresource_name.limitfromdba_profiles,dba_userswheredba_pro

=dba_users

.prodba_users.accounl_status='OPEN'and

resource_name='PASSWORD_REUSE_MAX,;

基線符合性查詢結(jié)果中PASSWORD_REUSE_MAX大于等于5。

判定依據(jù)

備注

3.1.3認證限制*

平安基線工

數(shù)據(jù)庫管理系統(tǒng)Oracle認證限制策略平安基線要求項

程名稱

平安基線編

SBL-Oracle-()3-01-03

號

平安基線項對于采納靜態(tài)口令認證技術(shù)的數(shù)據(jù)庫，應(yīng)配置當(dāng)用戶連續(xù)認證失敗次數(shù)超過

說明

10次，鎖定該用戶運用的帳號。

檢測操作步

1.以O(shè)racle用戶登陸到系統(tǒng)中。

驟

2.以sqlplus7assysdba*登陸到sqlplus環(huán)境中。

3.執(zhí)行selectresource_name,limitfromdba_profiles,dba_userswheredba_pro

=dba_users

.prodba_users.account_s(atus='OPEN'and

resource_name='FAILED_LOGIN_ATTEMPTS';

基線符合性查詢結(jié)果中FAILED_LOGIN_ATTEMPTS等于10。

判定依據(jù)

備注依據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，那么強制要求此項。對核

心庫、生產(chǎn)用戶不能設(shè)置此基線。誤操作或惡意超過10次，導(dǎo)致用戶鎖定，

有肯定風(fēng)險，可能會導(dǎo)致應(yīng)用異樣

3.1.4更改默認帳號密碼

平安基線工

數(shù)據(jù)庫管理系統(tǒng)Oracle默認帳號口令策略平安基線要求項

程名稱

平安基線編SBL-Oracle-03-01-04

號

平安基線項更改數(shù)據(jù)庫默認帳號的密碼。

說明

檢測操作步

1.以O(shè)racle用戶登陸到系統(tǒng)中。

驟2.以syslem/systemsyslem/manager、sys/sys>sys/cHAnge_on_inslal1、

scott/scott>scott/tiger>dbsnmp/dbsnmp、rman/rmansxdb/xdb登陸sqlplus

環(huán)境。

基線符合性上述帳號口令均不能勝利登錄。

判定依據(jù)

備注

3.1.5密碼更改策略

平安基線工

數(shù)據(jù)庫管理系統(tǒng)Oracle密碼更改策略平安基線要求項

程名稱

平安基線編SBL-Oracle-()3-01-05

號

平安基線項設(shè)置帳號寬限期

說明

檢測操作步

1.以O(shè)racle用戶登陸到系統(tǒng)中。

驟

2.以sqlplus7assysdba*登陸到sqlplus環(huán)境中。

3.執(zhí)彳j：selectrcsourcc_name,limitfromdba_profilcs,dba_uscrswheredba_pro

=dba_users

.prodba_uscrs.account_status='OPEN'and

resource_name='PASSWORD_GRACE_TIIVfF.,

基線符合性查詢結(jié)果中PASSWORD_GRACE_TIME小于等于7。

判定依據(jù)

備注密碼過期后7天內(nèi)不修改密碼，密碼將失效

3.1.6密碼困難度策略

平安基線工

數(shù)據(jù)庫管理系統(tǒng)Oracle密碼困難度策略平安基線要求項

程名稱

平安基線編

SBL-Oracle-03-01-06

號

平安基線項對于采納靜態(tài)口令進展認證的數(shù)據(jù)庫，口令長度至少8位，并包括數(shù)字、小

說明

寫字母、大寫字母和特別符號四類中至少兩類。且5次以內(nèi)不得設(shè)置一樣的

口令。密碼應(yīng)至少每90天進展更換。

檢測操作步1.以O(shè)racle用戶登陸到系統(tǒng)中。

驟

2.以sqlplus*/assysdba*登陸到sqlplus環(huán)境中。

3、執(zhí)行selectlimitfromdba_profileswhere

resource_name='PASSWORD_VERIFY_FUNCTION'andpro(selectpro

dba_userswhereaccount_status='OPEN,

基線符合性為用戶建profile,調(diào)整PASSWORD_VERIFY_FUNCTION,指定密碼困難度

判定依據(jù)

備注

第4章日志

4.1日志審計

4.1.1數(shù)據(jù)庫審計謀略*

平安基線工數(shù)據(jù)庫管理系統(tǒng)Oracle數(shù)據(jù)審計謀略平安基線要求項

程名稱

平安基線編SBL-Oracle-04-Ol-Ol

號

平安基線項依據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計謀略。

說明

對用戶登錄進展記錄，記錄內(nèi)容包括用戶登錄運用的帳號、登錄是否勝利、

登錄時間以及遠程登錄時用戶運用的IP地址；

用戶對數(shù)據(jù)庫的操作，包括但不限于以下內(nèi)容：帳號創(chuàng)立、刪除和權(quán)限修改、

口令修改、讀取和修改數(shù)據(jù)庫配置、讀取和修改業(yè)務(wù)用戶的話費數(shù)據(jù)、身份

數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄須要包含用戶帳號，操作時間，操作內(nèi)容以

及操作結(jié)果；

記錄對與數(shù)據(jù)庫相關(guān)的平安事務(wù)。

檢測操作步1.以O(shè)racle用戶登陸到系統(tǒng)中。

驟

2.以sqlplus*/assysdba,登陸到sqlplus環(huán)境中。

3.運用showparameter吩咐來檢查參數(shù)audit_trail是否設(shè)置。

4檢.查