Oracle数据库安全配置标准

公司XX数据库平安配置标准（试行）Oracle1目的为保证公司应用系统的信息平安，规范数据库层面的平安配置操作，制定本标准2范围本标准适用于公司各个业务系统中运用的Oracle10g及以上数据库系统3平安配置标准

3.1安装数据库的主机要求•主机应当特地用于数据库的安装和运用；•数据库主机避开安装在域限制器上；•硬件要求请参考Oracle10g及以上各发行版自带的发行说明；•主机操作系统层面应当保证平安Oracle数据库可以安装在Windows Server,Linux,及各类Unix系统上，数据库软件安装之前，应当保证主机操作系统层面的平安，须要对主机进行平安设置，补丁更新，防病毒软件安装等

3.2数据库补丁安装标准日常运行维护中假如Oracle推出新的补丁，则应依据《基础平台运维管理方法》的相关规定，在进行评估、验证之后，升级相关补丁

3.3数据库□令平安配置标准

3.

3.1密码困难性配置要求

1.密码长度至少为8位

2.必需为DBA帐户和一般帐户供应困难的口令，须要包含以下字符■英语大写字母A,B,C,…Z■英语小写字母a,b,c,…z西方阿拉伯数字0,1,2,•••9■非字母数字字符，如标点符号，#,$,%,,*等■为用户建profile,调整PASSWORD_VERIFY_FUNCTION,对密码负载度进行设置:策略平安设置配置说明口令的有效期PASSWORD，IFE_TI ME90天连续失败登录10次，用户锁用户锁定FAILED_LOGIN_ATTEMPTS定口令宽限期PASSWORD_GRACE_TIME7天用户被加锁天数PASSWORD_LOCK_TIME1天原有口令被修改多10次PASSWORD_REUSE_MAX少次才能被重新运用300天原有口令多少天能PASSWORD_REUSE_TIME够被运用备注应用连接用户（包括监控及备份用户）的密码策略依据应用程序设置相关密码策略创建应用账号并授权创建用户SQLcreate userusername identifiedby password;基本授权SQLgrant connect,resource tousername;创建表空间SQLcreate tablespace tablespace_name datafile/home/orac1e/1ab1espace_name.dbfsize500m;用户与表空间对应SQLalter userusername defaulttablespacetablespace_name;

3.

3.3禁用不必要的数据库帐户针对每个数据库里的数据库帐号，确保没有测试帐号和无用的帐号存在假如存在，应当刚好禁用运用如下语句查看数据库账号，并锁定不必要的账号SQL selectusername,password,account_status,default_tablespace fromdba_users;SQL alter user testaccount lock;

3.

3.4修改数据库缺省用户的初始密码在数据库安装时，应对数据库缺省用户的初始密码刚好进行修改

3.

3.5禁止操作系统与数据库间的单点登录除软件系统管理用户如oracle,grid,splex外不允许拥有command line的操作系统用户绕过数据库平安设置而干脆访问数据库，即不允许其余用户加入到dba组中

3.

3.6强制新用户登录时更改密码对于新增的数据维护用户，在系统中设置自动限制强制首次登陆修改密码，操作吩咐如下:alteruserusername passwordexpire;

3.4书目和文件平安标准

3.

4.1数据库安装文件系统要求数据库软件应当安装在支持权限安排的分区文件系统上如NTFS,EXT3等

3.

4.2书目爱护配置要求受爱护的书目如下表所示爱护的书目应用的权限Administrators完全限制System完全限制Authenticated Users读取和执行、列出%ORACLE_HOME%（Windows系统）文件夹内容、读取Users:读取及运行、列出文件夹书目oracle属主用户读、写、执行oracle属组$ORACLE_HOME（Linux/Unix系统）用户读、执行其它用户读、执行数据库限制文件配置要求对于control file的配置，要求数据库有2套或以上的Control file配置，以保证数据库的高平安性

3.

4.4数据库重做日志的配置要求对于数据库redo log的配置，要求依据至少3组或以上的redo log,每组redo log含2个或以上的成员进行配置

3.5监听器平安配置标准

3.

1.1设置监听器密码通过设置监听器密码可以阻挡大部分的菜鸟黑客的进攻，设置密码有两种方法，一种是通过Isnrctl吩咐来设置，另一种是干脆修改listener,ora文件，第一种方法设置的密码是经过加密后存储在listener.ora中，而其次种方法是以明文的形式放在listener,ora中的，所以举荐运用第一种方式详细吩咐如下LSNRCTLset currentlistener〈监听器名〉LSNRCTLchange_passwordold password:〈假如之前没有设置密码就干脆按回车》New password:〈输入新密码》Reenter newpassword:〈再次输入新密码》LSNRCTLset passwordPassword:〈输入刚刚设置的新密码》LSNRCTLsave_conf ig设置好密码后，打开listener,ora,看是否有一条PASSWORDS.〈监听器名〉的记录，类似于PASSWORDS」ISTENER=F4BAA4A006C26134为监听器设置了密码后，必需到客户端重新配置连接上面的操作只适用于oracle9i及以前的版本，Oracle10g以后，设置Listener密码已经不是平安检查的必要条件了，因为默认在10g里面除了启动监听的用户之外，其它用户都无法停止Listener（还有另外一些Isnrctl的吩咐也同样被禁止了，比如trace,reload等），即使Listener没有设置密码，因此对于OraclelOg及以上版本可不设置监听器密码

3.

1.2开启监听器日志开启监听器日志功能是为了捕获监听器吩咐和防止密码被暴力破解开启监听器日志功能的吩咐为LSNRCTLset current」is tener〈监听器名〉LSNRCTLset passwordPassword:〈输入监听器密码》LSNRCTLset log_directory oracle_home路径》/network/adminLSNRCTLset log_file sid名称.logLSNRCTLset log_status onLSNRCTLsave_conf ig通过运行上面的吩咐，监听器将会在ORACLE_HOME/network/admin书目下创建一个sid.log日志文件，以后可以打开该文件查看一些常见的ORA-错误信息353设置ADMIN_RESTRICTIONS在listener.ora文件中设置了ADMIN_RESTRICTIONS参数后，当监听器在运行时，不允许执行任何管理任何，届时，set吩咐将不行用，不论是在服务器本地还是从远程执行都不行，这时假如要修改监听器设置就只有手工修改listener,ora文件了，通过手工修改listener,ora,要使修改生效，只能运用Isnrctl reload吩咐或Isnrctl stop/start吩咐重新载入一次监听器配置信息在listener,ora文件中手动加入下面这样一行ADMIN_RESTR ICT IONS_监听器名〉二ON354爱护$TNS_ADMIN书目$TNS_ADMIN书目即我们通常看到的ORACLE」IOME/network/admin书目，它下面包含有listener,ora,tnsnames.ora,sqlnet.ora,protocol,ora等重要配置文件，前面已经提到，监听器的密码就是保存在listener,ora中的，假如不爱护好，可能造成密码泄露，或整个文件被修改，这个书目下的listener,ora,sqlnet.ora,protocol,ora文件应当只开放给Oracle主账户（通常是oracle或Administrator）,而其他账户不能有任何权限，tnsnames.ora文件在Linux或Unix系统上权限可以设置为0644,在windows上可以设置其他用户为阅读，读取权限

3.

5.5爱护TNSLSNR和LSNRCTL在Linux或Unix服务器上，应当将这两个文件的权限设为0751,假如想更严格一点，可以设为0700,这样就只有安装oracle时指定的宿主用户可以执行它们了，这两个文件位于ORACLE_HOME/bin书目下爱护这两个文件的目的是为了防止黑客干脆破坏它们，假如tnslsnr被破坏，监听器确定不能启动，假如Isnrctl被破坏，可能植入恶意代码，在运行Isnrctl时就会执行其它黑客行为

3.

5.6移除不用的服务默认安装时，会安装一个PL/SQL外部程序（ExtProc）条目在listener,ora中，它的名字通常是ExtProc或PLSExtProc,但一般不会运用它，可以干脆从listener,ora中将这项移除,因为对ExtProc已经有多种攻击手段了有时可能会在多个实例之间拷贝listener,ora,请检查拷贝来的文件中是否含有不须要的服务，确保只留下的确须要的服务项目，削减监听器受攻击的面

3.

5.7数据库运用的端口当Oracle10g选择TCP/IP网络协议后，数据库监听如下端口:端口协议平安配置说明依据应用实TCP开放客户端连接端口际须要进行配置

3.6数据库备份配置标准依据《备份管理方法》中的相关要求，运用备份工具，遵循并执行相关备份策略

3.7数据库审计配置标准Oracle数据库对不用的数据库用户组设置不同的审计策略

（1）对于应用系统连接数据库用户（包括架构应用用户和外挂应用用户），应通过密码封存的方式来限制此类用户干脆登录后台数据库的行为在此基础上，可不对此类用户开启数据库审计日志

（2）对于批处理用户，首先要保证此类用户是独立的用户而不是数据库管理用户（即拥有sysdba和sysoper权限的用户），其次须要对此类用户的密码和用途进行严格管理，保证只有相应系统的应用系统管理员知悉此用户的密码并只将此用户用于批处理操作在此基础上，可不对此类用户开启数据库审计日志

（3）对于数据库管理用户（即拥有sysdba和sysoper权限的用户），依据如下方式开启对该类用户全部操作的审计日志alter systemset audit_sys_operations=TRUE scope=spfile;（重起生效）alter systemset audit_trail=OS scope=spfile;（重起生效）

（4）对于除上述用户和监控用户、备份用户之外的数据库用户，依据如下方式开启对ALTER、AUDIT、INSERT、DELETE、GRANT、LOCK、DROP TABLE,CREATE TABLE数据库操作的审计日志审计吩咐AUDIT ALTERANY TABLE;AUDIT INSERTANY TABLE;AUDIT DELETEANY TABLE;AUDIT LOCKany table;AUDIT DROPANY TABLE;AUDIT CREATEANY TABLE;audit grantany objectprivilege by access;audit grantany roleby access;audit grantany privilegeby access;一加上索引和视图audit alterany index;audit dropany index;audit createany index;audit dropany view;audit createany view;一关闭审计noAUDIT ALTERANY TABLE;noAUDIT INSERTANY TABLE;noAUDIT DELETEANY TABLE;noAUDIT LOCKany table;noAUDIT DROPANY TABLE;noAUDIT CREATEANY TABLE;noaudit grantany objectprivilege;noaudit grantany role;noaudit grantany privilege;一默认新建对象审计SQL select*from alldefaudit opts;ALT AUDCOM DELGRA INDINS LOCREN SELUPD REFEXE FBKREAaudit alteron defaultby session;audit auditon defaultby session;audit deleteon defaultby session;audit granton defaultbyaccess;audit lockon defaultby session;SQL select*from all_def_audit_opts;ALT AUDCOM DELGRA INDINS LOCREN SELUPD REFEXE FBKREAS/S S/S-/-S/S A/A-/--/-S/S-/--/--/--/--/--/--/-

（5）鉴于实际工作中密码封存方式及密码的用途管理存在确定风险，对于上述

（1）和

（2）类用户需打开重要对象（静态参数表）的审计开启的审计内容包括静态参数表的ALTER、AUDIT、INSERT.DELETE.DROP TABLE数据库操作的审计日志；GRANT操作的活动“GRANT ANYOBJECT PRIVILEGE”项审计配置4制度说明权和施行日期

1.1本标准由公司xx室负责说明和修订

4.1本标准自xxxx年x月x日起施行。