目錄

1概述...........................................2

1.1適用范圍.............................................................................2

1.2內(nèi)部適用性說明.......................................................

1.3外部引用說明.........................................................

1.4術(shù)語和定義...........................................................

1.5符號和縮略語.........................................................................2

2ORACLE安全配置要求...........................2

2.1賬號..................................................................................2

2.2口令..................................................................................8

2.3日志.................................................................................13

2.4其他.................................................................................15

ORACLE數(shù)據(jù)庫安全配置規(guī)范

1概述

1.1適用范圍

本規(guī)范明確了Oracle數(shù)據(jù)庫安全配置方面的基本要求。

1.2符號和縮略語

縮寫英文描述中文描述

DBADatabaseAdministrator數(shù)據(jù)庫管理員

VPDVirtualPrivateDatabase虛擬專用數(shù)據(jù)庫

OLSOracleLabelSecurityOracle標(biāo)簽安全

2ORACLE安全配置要求

2.1本規(guī)范所指的設(shè)備為ORACLE數(shù)據(jù)庫。本規(guī)范提出的安全配置要求,

在未特別說明的情況下，均適用于ORACLE數(shù)據(jù)庫。

2.2本規(guī)范從ORACLE數(shù)據(jù)庫的認(rèn)證授權(quán)功能、安全日志功能，和其他

自身安全配置功能提出安全要求。

2.3賬號

ORACLE應(yīng)提供賬號管理及認(rèn)證授權(quán)功能，并應(yīng)滿足以下各項(xiàng)要求。

2

ORACLE數(shù)據(jù)庫安全配置規(guī)范

231按用戶分配帳號

要求內(nèi)容應(yīng)按照用戶分配賬號，避免不同用戶間共享賬號。

操作指南1、參考配■操作

createuserabc1identifiedbypasswordI;

createuserabc2identifiedbypassword2;

2、建立role,并給role授權(quán)，把role賦給不同的用戶

3、補(bǔ)充操作說明

Label和abc2是兩個(gè)不同的賬號名稱，可根據(jù)不同用戶，取不同的名稱；

Label和abc2是兩個(gè)不同的賬號名稱，可根據(jù)不同用戶，取不同的名稱；

1、和出足2是兩個(gè)不同的賬號名稱，可根據(jù)不同用戶，取不同的名

稱；

檢測方法4、判定條件

不同名稱的用戶可以連接數(shù)據(jù)庫

5、檢測操作

connectabc1/password1連接數(shù)據(jù)庫成功

5.補(bǔ)充說明

5、補(bǔ)充說明

2.3.2刪除或鎖定無關(guān)帳號

要求內(nèi)容應(yīng)刪除或鎖定與數(shù)據(jù)庫運(yùn)行、維護(hù)等工作無關(guān)的賬號。

操作指南1、參考配置操作

alteruserusernamelock:

dropuserusernamecascade;

2、補(bǔ)充操作說明

檢測方法3、判定條件

首先鎖定不需要的用戶

在經(jīng)過一段時(shí)間后，確認(rèn)該用戶對業(yè)務(wù)確無影響的情況下，可以刪除

4.檢測操作

3

ORACLE數(shù)據(jù)庫安全配置規(guī)范

5.補(bǔ)充說明

5、補(bǔ)充說明

2.3.3限制SYSDBA用戶的遠(yuǎn)程登錄

要求內(nèi)容限制具備數(shù)據(jù)庫超級管理員(SYSDBA)權(quán)限的用戶遠(yuǎn)程登錄。

操作指南1.參考配置操作

1在.spfile中設(shè)置REMOTE_LOGIN_PASSWORDFILE=NONE來禁止

SYSDBA用戶從遠(yuǎn)程登陸。

2在.sqlnei.ora中設(shè)置SQLNET.AUTHENTICATION_SERVICES=NONE

來禁.SYSDB.角色的自動登錄。

2.補(bǔ)充煤作說明

2、補(bǔ)充操作說明

檢測方法3.判定條件

1.不能通過Sql*Net遠(yuǎn)程以SYSDBA用戶連接到數(shù)據(jù)庫。

2.在數(shù)據(jù)庫主機(jī)上以sqlplu.7a.sysdba'連接到數(shù)據(jù)庫需要輸入口令。

4.檢測操作

1.以O(shè)racle用戶登陸到系統(tǒng)中。

2以.sqlplu.'/a.sysdba'登陸到sqlphis環(huán)境中。

3.使用sho.parameler命令來檢查參數(shù)

REMOTE_LOGIN_PASSWORDFILE是否設(shè)置為NONE。

ShowparameterREMOTE_LOGIN_PASSWORDFILE

4.檢查在$ORACLE_HOME/network/admin/sqlnet.ora文件中參數(shù)

SQLNET.AUTHENTICATION.SERVICES是否被設(shè)置成NONE。

5.補(bǔ)充說明

5、補(bǔ)充說明

4

ORACLE數(shù)據(jù)庫安全配置規(guī)范

234用戶權(quán)限最小化

要求內(nèi)容在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)

限。

操作指南1、參考配置操作

grant權(quán)限tousername;

revoke權(quán)限fromusername;

2、補(bǔ)充操作說明

用第一條命令給用戶賦相應(yīng)的最小權(quán)限

用第二條命令收回用戶多余的權(quán)限

檢測方法3、判定條件

業(yè)務(wù)測試正常

4、檢測操作

業(yè)務(wù)測試正常

5.補(bǔ)充說明

5、補(bǔ)充說明

235使用ROLE管理對象的權(quán)限

要求內(nèi)容使用數(shù)據(jù)庫角色（ROLE）來管理對象的權(quán)限。

操作指南1.參考配置操作

1.使用Creal.Role命令創(chuàng)建角色。

2.使用用Grant命令將相應(yīng)的系統(tǒng)、疝象或Role的權(quán)限賦予應(yīng)用用戶。

2.補(bǔ)充操作說明

2、補(bǔ)充操作說明

檢測方法3判.定條件

對應(yīng)用用戶不要賦予DBARole或不必要的權(quán)限。

4.檢測操作

1.以DBA用戶登陸到sqlphis中。

5

ORACLE數(shù)據(jù)庫安全配置規(guī)范

2.通過查詢dba_role_privsxdba_sys_privs和dba_tab_privs等視圖來檢查

是否使用ROLE來管理對象權(quán)限。

5.補(bǔ)充說明

5、補(bǔ)充說明

236控制用戶屬性

要求內(nèi)容對用戶的屬性進(jìn)行控制，包括密碼策略、資源限制等。

操作指南1.參考配置操作

可通過下面類似命令來創(chuàng)建profile,并把它賦予一個(gè)用戶

CREATEPROFILEapp_user2LIMIT

FAILED_LOGIN_ATTEMPTS6

PASSWORD_LIFE_TIME60

PASSWORD_REUSE_TIME60

PASSWORD_REUSE_MAX5

PASSWORD_VERIFY_FUNCTIONverify_function

PASSWORD_LOCK_TIME1/24

PASSWORD_GRACE_TIME90;

ALTERUSERjdPROHLEapp_user2;

2.補(bǔ)充操作說明

2、補(bǔ)充操作說明

檢測方法3.判定條件

1.可通過設(shè)置profile來限制數(shù)據(jù)庫賬戶口令的復(fù)雜程度，口令生存周

期和賬戶的鎖定方式等。

2.可通過設(shè)置.profile來限制數(shù)據(jù)庫賬戶的CPU資源占用。

4.檢測操作

1.以DBA用戶登陸到sqlphis中。

2.查詢視圖dba_profiies和dba_usres來檢查profile是否創(chuàng)建。

6

ORACLE數(shù)據(jù)庫安全配置規(guī)范

5.補(bǔ)充說明

5、補(bǔ)充說明

2.3.7啟用數(shù)據(jù)庫字典保護(hù)

要求內(nèi)容啟用數(shù)據(jù)字典保護(hù)，只有SYSDBA用戶才能訪問數(shù)據(jù)字典基礎(chǔ)表。

操作指南1.參考配置操作

通過設(shè)置下面初始化參數(shù)來限制只有SYSDBA權(quán)限的用戶才能訪問數(shù)據(jù)

字典。

O7_DICTIONARY_ACCESSIBILITY=FALSE

2.補(bǔ)充煤作說明

2、補(bǔ)充操作說明

檢測方法3.判定條件

以普通dba用戶登陸到數(shù)據(jù)庫，不能查看*$開頭的表，比如：

selec..fro.sys.x$ksppi;

4.檢測操作

1.以O(shè)racle用戶登陸到系統(tǒng)中。

2以.sqlplu.'/a.sysdba'登陸到sqlplus環(huán)境中。

3.使用sho.parameter命令來檢查參數(shù)

O7_DICTIONARY_ACCESSIBILITY是否設(shè)置為FALSE。

ShowparameterO7_DICTIONARY_ACCESSIBILITY

5.補(bǔ)充說明

5、補(bǔ)充說明

7

ORACLE數(shù)據(jù)庫安全配置規(guī)范

2.4口令

2.4.1靜態(tài)口令認(rèn)證的密碼復(fù)雜度控制

要求內(nèi)容對于采用靜態(tài)口令進(jìn)行認(rèn)證的數(shù)據(jù)庫，口令長度至少6位，并包括數(shù)字、

小寫字母、大寫字母和特殊符號4類中至少2類。

操作指南1、參考配置操作

2、為用戶建profile,調(diào)整PASSWORD.VERIFY_FUNCTION,指定密碼

復(fù)雜度

3、補(bǔ)充操作說明

檢測方法4、判定條件

5、修改密碼為不符合要求的密碼，將失敗

6、檢測操作

alteruserabed1identifiedbyabed1;將失敗

5.補(bǔ)充說明

5、補(bǔ)充說明

2.4.2靜態(tài)口令認(rèn)證的密碼生命周期

要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫，賬戶口令的生存期不長于90天。

操作指南1、參考配置操作

2、為用戶建相關(guān)piufik:,指定PASSWORD_GRACE_TIME為90天

3、補(bǔ)充操作說明

在90天內(nèi)，需要修改密碼

在90天內(nèi)，需要修改密碼

檢測方法4、判定條件

5、到期不修改密碼，密碼將會失效。連接數(shù)據(jù)庫將不會成功

8

ORACLE數(shù)據(jù)庫安全配置規(guī)范

6、檢測操作

connectusemame/password報(bào)錯

5.補(bǔ)充說明

5、補(bǔ)充說明

2.4.3靜態(tài)口令認(rèn)證的密碼重復(fù)使用限制

要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫，應(yīng)配置數(shù)據(jù)庫，使用戶不能重復(fù)

使用最近5次（含5次）內(nèi)已使用的口令。

操作指南1、參考配置操作

為用尸建profile,PASSWORD.REUSEMAX為5

2、補(bǔ)充操作說明

當(dāng)前使用的密碼，必需在密碼修改5次后才能再次被使用

當(dāng)前使用的密碼，必需在密碼修改5次后才能再次被使用

檢測方法3、判定條件

4、重用修改5次內(nèi)的密碼，將不能成功

5、檢測操作

alteruserusernameidentifiedbypassword1;如果password1在5次修改密

碼內(nèi)被使用，該操作將不能成功

5.補(bǔ)充說明

5、補(bǔ)充說明

2.4.4景泰口令認(rèn)證的連續(xù)登錄失敗的帳號鎖定策略

要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的數(shù)據(jù)庫，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)

超過6次（不含6次），鎖定該用戶使用的賬號。

操作指南1、參考配置操作

9

ORACLE數(shù)據(jù)庫安全配置規(guī)范

2、為用戶建profile,指定FAILED_LOGIN_ATTEMPTS為6

3、補(bǔ)充操作說明

如果連續(xù)6次連接該用戶不成功，用戶將被鎖定

如果連續(xù)6次連接該用戶不成功，用戶將被鎖定

檢測方法4、判定條件

5、連續(xù)6次用錯誤的密碼連接用戶，第7次時(shí)用戶將被鎖定

6、檢測操作

connectusemame/password,連續(xù)6次失敗，用戶被鎖定

5.補(bǔ)充說明

5、補(bǔ)充說明

2.4.5更改數(shù)據(jù)庫默認(rèn)帳號的密碼

要求內(nèi)容更改數(shù)據(jù)庫默認(rèn)帳號的密碼。

操作指南1.參考配置操作

1.可通過下面命令來更改默認(rèn)用戶的密碼：

A5ERUSERXXXIDENTIFIEDBYXXX;

2.下面是默認(rèn)用戶列表：

ANONYMOUS

CTXSYS

DBSNMP

DIP

DMSYS

EXFSYS

HR

LBACSYS

MDDATA

MDSYS

MGMT.VIEW

10

ORACLE數(shù)據(jù)庫安全配置規(guī)范

ODM

ODM_MTR

OE

OLAPSYS

ORDPLUGINS

ORDSYS

OUTLN

PM

QS

QS_ADM

QS_CB

QSLCRADM

QS_CS

QS_ES

QS_OS

QS_WS

RMAN

SCOTT

SH

SI_INFORMTN_SCHEMA

SYS

SYSMAN

SYSTEM

TSMSYS

WK.TEST

WKPROXY

WKSYS

WMSYS

XDB

II

ORACLE數(shù)據(jù)庫安全配置規(guī)范

2.補(bǔ)充操作說明

2、補(bǔ)充操作說明

檢測方法3.判定條件

不能以用戶名作為密碼或使用默認(rèn)密碼的賬戶登陸到數(shù)據(jù)庫。

4.檢測操作

1.以DBA用戶登陸到sqlplus中。

2.檢查數(shù)據(jù)庫默認(rèn)賬戶是否使用了用戶名作為密碼或默認(rèn)密碼。

5.補(bǔ)充說明

5、補(bǔ)充說明

2.4.6操作系統(tǒng)級的帳戶安全策略

要求內(nèi)容Oracle軟件賬戶的訪問控制可遵循操作系統(tǒng)賬戶的安全策略，比如不要

共享賬戶、強(qiáng)制定期修改密碼、密碼需要有一定的復(fù)雜度等。

操作指南1.參考配置操作

使用操作系統(tǒng)一級的賬戶安全管理來保護(hù)Oracle軟件賬戶。

2.補(bǔ)充操作說明

2、補(bǔ)充操作說明

檢測方法3.判定條件

每3個(gè)月自動提示更改密碼，過期后不能登陸。

4.檢測操作

每3個(gè)月強(qiáng)制修改Oracle軟件賬戶客碼，并且密碼需要滿足一定的復(fù)雜

程度，符合操作系統(tǒng)的密碼要求。

5.補(bǔ)充說明

5、補(bǔ)充說明

12

ORACLE數(shù)據(jù)庫安全配置規(guī)范

2.5日志

2.5.1登錄日志功能

要求內(nèi)容數(shù)據(jù)庫應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括

用戶登錄使用的賬號、登錄是否成功、登錄時(shí)間以及遠(yuǎn)程登錄

時(shí)用戶使用的IP地址。

操作指南1、參考配置操作

創(chuàng)建ORACLE登錄觸發(fā)器，記錄相關(guān)信息，但對IP地址的記錄會有困難

創(chuàng)建ORACLE登錄觸發(fā)器，記錄相關(guān)信息，但對IP地址的記錄會有困

難

檢測方法2、判定條件

登錄測試，檢查相關(guān)信息是否被記錄

4、3.檢測操作

5、補(bǔ)充說明

觸發(fā)器與AUDIT會有相應(yīng)資源開消，請檢查系統(tǒng)資源是否充足。特別是

RAC環(huán)境，資源消耗較大。

觸發(fā)器與AUDIT會有相應(yīng)資源開消，請檢查系統(tǒng)資源是否充足。特別是

RAC環(huán)境，資源消耗較大。

2.5.2DDL日志

要求內(nèi)容數(shù)據(jù)庫應(yīng)配置日志功能，記錄用戶對數(shù)據(jù)庫的操作，包括但不限于以下

內(nèi)容：賬號創(chuàng)建、刪除和權(quán)限修改、口令修改、讀取和修改數(shù)據(jù)庫配置、

讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄

需要包含用戶賬號，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。

操作指南1、參考配置操作

13

ORACLE數(shù)據(jù)庫安全配置規(guī)范

創(chuàng)建ORACLEDDL觸發(fā)器，記錄相關(guān)信息，但對IP地址的記錄會有困難

2.補(bǔ)充操作說明

2、補(bǔ)充操作說明

檢測方法2、判定條件

做相關(guān)操作，檢查是否記錄成功

6、4.檢測操作

7、補(bǔ)充說明

觸發(fā)器與AUDIT會有相應(yīng)資源開消，請檢查系統(tǒng)資源是否充足。特別是

RAC環(huán)境，資源消耗較大。

觸發(fā)器與AUDIT會有相應(yīng)資源開消，請檢查系統(tǒng)資源是否充足。特別是

RAC環(huán)境，資源消耗較大。

2.5.3數(shù)據(jù)庫審記

要求內(nèi)容根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計(jì)策略。

操作指南1.參考配置操作

1.通過設(shè)置參數(shù)audit_trai..db或os來打開數(shù)據(jù)庫審計(jì)。

2.然后可使用Audit命令對相應(yīng)的對象進(jìn)行審計(jì)設(shè)置。

2.補(bǔ)充操作說明

2、補(bǔ)充操作說明

檢測方法3.判定條件

對審計(jì)的對象進(jìn)行一次數(shù)據(jù)庫操作，檢查操作是否被記錄。

4.檢測操作

7、1.檢查初始化參數(shù)audit_trail是否設(shè)置。

8、2.檢查dba_audit」rail視圖中或$ORACLE_BASE/admin/adump目錄下

是否有數(shù)據(jù)。

9、補(bǔ)充說明

AUDIT會有相應(yīng)資源開消，請檢查系統(tǒng)資源是否充足。特別是RAC環(huán)境，

資源消耗較大。

14

ORACLE數(shù)據(jù)庫安全配置規(guī)范

AUDIT會有相應(yīng)資源開消，請檢查系統(tǒng)資源是否充足。特別是RAC環(huán)

境，資源消耗較大。

2.6其他

2.6.1VPD與OLS

要求內(nèi)容使用Oracle提供的虛擬私有數(shù)據(jù)庫-VPD）和標(biāo)簽安全（OLS）來保護(hù)

不同用戶之間的數(shù)據(jù)交叉訪問。

操作指南1.參考配置操作

1.在表上構(gòu).VPD可以使用Oracle所提供.PL/SQ..DBMS_RL.控制整.VP.基

礎(chǔ)架構(gòu)，具體設(shè)置方法較復(fù)雜，建議參考Oracle文檔進(jìn)行配置。

2.0raclc標(biāo)簽安全（OLS）是在相關(guān)表上通過添加一個(gè)標(biāo)簽列來實(shí)現(xiàn)復(fù)雜的

數(shù)據(jù)安全控制，具體細(xì)節(jié)請參考Oracle文檔。

2.補(bǔ)充操作說明

2、補(bǔ)充操作說明

檢測方法3.判定條件

通過視圖來檢查是否在數(shù)據(jù)庫對象上設(shè)置了VPI）和OLSo

4.檢測操作

查詢視圖v$vpd_policy和dba_policieso

5.補(bǔ)充說明

5、補(bǔ)充說明

2.6.2DataVault

要求內(nèi)容使用Oracle提供的DataVault選件來限制有DBA權(quán)限的用戶訪問敏感

數(shù)據(jù)。

15

ORACLE數(shù)據(jù)庫安全配置規(guī)范

操作指南1.參考配置操作

OracleDataVault是作為數(shù)據(jù)庫安全解決方案的一個(gè)單獨(dú)選件，主要功能

是將數(shù)據(jù)庫管理賬戶的權(quán)限和應(yīng)用數(shù)據(jù)訪問的權(quán)限分開，DataVault可

限制有DBA權(quán)限的用戶訪問敏感數(shù)據(jù)。設(shè)置比較復(fù)雜，具體細(xì)節(jié)請參考

Oracle文檔。

2.補(bǔ)充操作說明

2、補(bǔ)充操作說明

檢測方法3.判定條件

以DBA用戶登陸，不能查詢其它用戶下面的數(shù)據(jù)。

4.檢測操作

1.在視利dba_users中查詢是否存在dvsys用戶。

2.在視國dba_objects中檢查是否存在dbms_macadm對象。

5.補(bǔ)充說明

5、補(bǔ)充說明

2.6.3Listener設(shè)定密碼保護(hù)

要求內(nèi)容為數(shù)據(jù)庫監(jiān)聽器（LISTENER）的關(guān)閉和啟動設(shè)置密碼。

操作指南1.參考配置操作

通過下面命令設(shè)置密碼：

$Isnrctl

LSNRCTL>change_password

Oldpassword:<OldPassword>Notdisplayed

Newpassword:<NcwPassword>Notdisplayed

Reenternewpassword:<NewPassword>Notdisplayed

Connectingto

(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT=

1521)(IP=FIRST)))

PasswcrdchangedforLISTENER

16

ORACLE數(shù)據(jù)庫安全配置規(guī)范

Thecommandcompletedsuccessfully

LSNRCTL>save_conHg

2.補(bǔ)充操作說明

2、補(bǔ)充操作說明

檢測方法3.判定條件

使用Isnrctlstart或Isnrctlstop命令起停listener需要密碼

4.檢測操作

檢查$ORACLE_HOME/network/admin/listener.ora文件中是否設(shè)置參數(shù)

PASSWORDS_LISTENER。

5.補(bǔ)充說明

5、補(bǔ)充說明

2.6.4設(shè)定信任IP集

要求內(nèi)容設(shè)置只有信任的IP地址才能通過監(jiān)聽器訪問數(shù)據(jù)庫。

操作指南1.參考配置操作

只需在服務(wù)器1：的文件$ORACLE_HOME/net\vork/admin/sqlnet.ora中設(shè)

置以下行：

tcp.validnode_checking=yes

tcp.invited_nodes=(ipl,ip2...)

2.補(bǔ)充操作說明

2、補(bǔ)充操作說明

檢測方法3判.定條件

在非信任的客戶端以數(shù)據(jù)庫賬戶登陸被提示拒絕。

4.檢測操作

檢查$ORACLE_H()ME/network/adniin/sqlnet.ora文件中是否設(shè)置參數(shù)

tcp.validnode_checking和tcp.invited_nodeso

5.補(bǔ)充說明

5、補(bǔ)充說明

17

ORACLE數(shù)據(jù)庫安全配置規(guī)范

2.6.5加密