Oracle安全配置基线

Oracle数据库系统平安配置基线中国移动通信管理信息系统部年月骤以、、

2.system/systemsystem/manager sys/syssys/cHAnge_on_install scott/scott

20234、登陆scott/tiger dbsnmp/dbsnmp rman/rmanxdb/xdb sqlplus环境基线符合性判上述帐号口令均不能胜利登录定依据备注密码更改策略平安基线工程数据库管理系统密码更改策略平安基线要求项Oracle名称SBL-Oracle-03-01-05平安基线编号平安基线项说设置帐号宽限期明检测操作步以用户登陆到系统中

1.Oracle骤以登陆到环境中

2.sqlplus7as sysdbasqlplus执行

3.select resource_name,limit from dba_profiles,dba_users wheredba_pro=dba_users.pro dba_users.account_status=,OPEN,andresource_name=,PASSWORD_GRACE_TIME,查询结果中小于等于基线符合性判PASSWORD_GRACE_TIME7定依据密码过期后天内不修改密码，密码将失效备注7密码困难度策略平安基线工程数据库管理系统密码困难度策略平安基线要求项Oracle名称SBL-Oracle-03-01-06平安基线编号平安基线项说对于采纳静态口令进展认证的数据库，口令长度至少位，并包括数字、小写字8明母、大写字母和特别符号四类中至少两类且次以内不得设置一样的5口令密码应至少每天进展更换90检测操作步骤以用户登陆到系统中

1.Oracle以登陆到环境中

2.sqlplus7as sysdbasqlplus、个彳亍31select limit from dba_profiles whereresource_name=PASSWORD_VERIFY_FUNCTION,and proselect pro dba_userswhere account_status=OPEN基线符合性判为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码困难度定依据备注日志审计

4.1数据库审计谋略*

4.

1.1平安基线工程数据库管理系统数据审计谋略平安基线要求项Oracle名称SBL-Oracle-04-Ol-Ol平安基线编号平安基线项说依据业务要求制定数据库审计谋略明对用户登录进展记录，记录内容包括用户登录运用的帐号、登录是否胜利、登录时间以及远程登录时用户运用的地址；IP用户对数据库的操作，包括但不限于以下内容帐号创立、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据记录须要包含用户帐号，操作时间，操作内容以及操作结果；记录对与数据库相关的平安事务检测操作步骤以用户登陆到系统中

1.Oracle以登陆到环境中

2.sqlplus7as sysdbasqlplus运用吩咐来检查参数是否设置

3.show parameteraudit_trail.检查视图中或书目下是否有4dba_audit_trail$ORACLE_BASE/admin/adump数据参数不能设置为基线符合性判audit_trail NONE定依据需设置详细的审计内容可以设置数据库参数来审计全部用户的操作audit_sys_operations=true SYS备注依据应用场景的不同，如部署场景需开启此功能，那么强制要求此项通过外围审计实现.数据库开启该项参数后，对数据库性能影响较大在以往的基线推广中，因数据库审计基线对业务系统影响较大，很难落地实施第章其他5其他配置

5.1设置监听器密码平安基线工程数据库管理系统监听器平安基线要求项Oracle名称SBL-Oracle-05-Ol-Ol平安基线编号平安基线项说为数据库监听器的关闭和启动设置密码LISTENER明检测操作步检查文件中是否设置参数$ORACLE_HOME/network/admin/listener.ora骤PASSWORDS.LISTENER基线符合性判要求正确设置参数PASSWORDS_LISTENER；定依据运用Isnrctl start或Isnrctl stop吩咐起停listener须要密码备注加密数据*平安基线工程数据库管理系统加密数据平安基线要求项Oracle名称SBL-Oracle-05-01-02平安基线编号平安基线项说运用供应的高级平安选件来加密客户端与数据库之间或中间件与数据库Oracle明之间的网络传输数据检测操作步骤要求正确设置参数；基线符合性判定依据通过网络层捕获的数据库传输包为加密包备注依据应用场景的不同，如部署场景需开启此功能，那么强制要求此项第章评审与修订6本标准由中国移动通信管理信息系统部定期进展审查，依据谛视结果修订标准，并颁发执行版本版本限制信息更新日期更新人审批人年月创立20231年月V更新20234备注

1.假设此文档须要日后更新，请创立人填写版本限制表格，否那么删除版本限制表格第章概述14目的4适用范围4适用版本4实施4例夕卜条款4第章帐号25帐号平安5删除不必要帐号*5限制超级管理员远程登录*5用户属性限制6数据字典访问权限6登录限制*TNS IP7第章□令38口令平安8帐号口令的生存期8重复口令运用8认证限制*9更改默认帐号密码9密码更改策略10密码困难度策略10第章日志412日志审计12数据库审计谋略*12第章其他513其他配置13设置监听器密码13加密数据*13第章评审与修订614目的

1.1本文档规定了中国移动管理信息系统部所维护管理的数据库系统应当遵循的数ORACLE据库平安性设置标准，本文档旨在指导数据库管理人员进展数据库系统的平安配置ORACLE适用范围

1.2本配置标准的运用者包括数据库管理员、应用管理员、网络平安管理员本配置标准适用的范围包括中国移动总部和各省公司信息化部门维护管理的ORACLE数据库系统适用版本

1.3数据库系统ORACLE实施

1.4本标准的说明权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中假设有任何疑问或建议，应刚好反应本标准发布之日起生效例外条款

1.5欲申请本标准的例外条款，申请人必需打算书面申请文件，说明业务需求和缘由，送交中国移动通信管理信息系统部进展审批备案帐号平安

2.1删除不必要帐号*

2.

1.1平安基线工程数据库管理系统删除不必要帐号平安基线要求项Oracle名称SBL-Oracle-02-Ol-Ol平安基线编号平安基线项说应删除或锁定与数据库运行、维护等工作无关的帐号明检测操作步骤首先锁定不须要的用户在经过段时间后，确认该用户对业务确无影响的状况下，可以删除基线符合性判结合要求和实际业务状况推断符合要求，删除或锁定与设备运行、维护等与工定依据作无关的帐号备注手工推断限制超级管理员远程登录*

2.

1.2平安基线工程数据库管理系统远程登录平安基线要求项Oracle名称SBL-Oracle-02-01-02平安基线编号平安基线项说限制具备数据库超级管理员（）权限的用户远程登录SYSDBA明检测操作步以用户登陆到系统中

1.Oracle骤以登陆到环境中

2.sqlplus7as sysdbasqlplus运用吩咐来检查参数设

3.show parameterREMOTE_LOGIN_PASSWORDFILE置Show parameterREMOTE_LOGIN_PASSWORDFILEo基线符合性判定依据

1.参数REMOTE_LOGIN_PASSWORDFILE设置为NONE;〔限制远程登录）文件中参数设置成

2.sqlnet.ora SQLNET.AUTHENTICATION_SERVICES（限制本地帐号权限登录）NONE;备注依据应用场景的不同，如部署场景需开启此功能，那么强制要求此项例外状况假设存在备份，有从远程发起的备份，比方rman connectsys/***@crmdbl1as需重点确认是否有影响sysdba用户属性限制

2.

1.3平安基线工程数据库管理系统用户属性限制策略平安基线要求项Oracle名称SBL-Oracle-02-01-03平安基线编号平安基线项说对用户的属性进展限制，主要为密码策略明检测操作步骤以用户登陆到中

1.DBA sqlplus.查询视图和来检查是否创立2dba_profiles dba_usres profile基线符合性判帐号口令的困难程度，口令生存周期和帐号的锁定方式等定依据备注数据字典访问权限

2.

1.4平安基线工程数据库管理系统数据字典访问权限策略平安基线要求项Oracle名称SBL-Oracle-02-01-04平安基线编号平安基线项说启用数据字典爱护，只有权限用户才能访问数据字典根底表SYSDBA明检测操作步骤以用户登陆到系统中

1.Oracle以登陆到环境中

2.sqlplus7as sysdbasqlplus运用吩咐来检查参数

3.show parameterO7_DICTIONARY_ACCESSIBILITY参数是否设置为基线符合性判O7_DICTIONARY_ACCESSIBILITY FALSE定依据备注登录限制

2.

1.5TNS IP平安基线工程数据库管理系统数据字典访问权限策略平安基线要求项Oracle名称SBL-Oracle-02-01-05平安基线编号平安基线项说通过数据库所在操作系统或防火墙限制，只有信任的地址才能通过监听器访IP明问数据库检测操作步骤参考配置操作

1.只需在效劳器上的文件中设置以下$ORACLE_HOME/network/admin/sqlnet.ora行tcp.validnode_checking=yestcp.invitednodes=ipl,ip

2...、补充操作说明2假如网络层已经做过访问限制，该项为可选项，否那么为必选项可信内网地址指专用维护终端、访问数据库应用效劳器、堡垒机，其他地址段制止基线符合性判、判定条件1定依据在非信任的客户端以数据库帐号登陆被提示拒绝、检测操作2检查文件中是否设置参数$ORACLE_HOME/network/admin/sqlnet.ora和tcp.validnode_checking备注依据应用场景的不问，如部署场景需开启此功能，那么强制要求此项第章口令3口令平安

3.1帐号口令的生存期平安基线工程数据库管理系统帐号口令生存期平安基线要求项Oracle名称SBL-Oracle-03-Ol-Ol平安基线编号平安基线项说对于采纳静态口令认证技术的数据库，帐号口令的生存期不长于天90明检测操作步骤以用户登陆到系统中

1.Oracle以登陆到环境中

2.sqlplus7as sysdbasqlplus、执行3select limit fromdba_profiles whereresource_name=,PASSWORD_LIFE_TIME,and proselect pro dba_users whereaccount_status=OPEN查询结果中小于等于基线符合性判PASSWORD_LIFE_TIME90定依据备注重复口令运用平安基线工程数据库管理系统重复口令的运用策略平安基线要求项Oracle名称SBL-Oracle-03-01-02平安基线编号平安基线项说对于米纳静态口令认证技术的数据库，应配置数据库，运用户不能重复运用最明近次（含次）内已运用的口令55检测操作步骤以用户登陆到系统中

1.Oracle以登陆到环境中

2.sqlplus7as sysdbasqlplus执彳亍

3.select resource_name,limitfromdba_profiles,dba_users wheredba_pro=dba_users.prodba_users.account_status=,OPEN,andresource_name=PASSWORD_REUSE_MAX;查询结果中大于等于基线符合性判PASSWORD_REUSE_MAX5定依据备注认证限制*平安基线工程数据库管理系统认证限制策略平安基线要求项Oracle名称SBL-Oracle-03-01-03平安基线编号平安基线项说对于采纳静态口令认证技术的数据库，应配置当用户连续认证失败次数超过10明次，锁定该用户运用的帐号检测操作步以用户登陆到系统中

1.Oracle骤以登陆到环境中

2.sqlplus7as sysdbasqlplus执彳亍

3.select resource_name,limitfromdba_profiles,dba_users wheredba_pro=dba_users.prodba_users.account_status=OPEN andresource_name=FAILED_LOGIN_ATTEMPTS;查询结果中等于10基线符合性判FAILED_LOGIN_ATTEMPTS定依据备注依据应用场景的不向，如部署场景需开启此功能，那么强制要求此项对核心库、生产用户不能设置此基线误操作或恶意超过次，导致用户锁定，有肯10定风险，可能会导致应用异样更改默认帐号密码平安基线工程数据库管理系统默认帐号口令策略平安基线要求项Oracle名称SBL-Oracle-03-01-04平安基线编号平安基线项说更改数据库默认帐号的密码明检测操作步以用户登陆到系统中

1.Oracle。