《数据库基本加固方案》由会员分享,可在线阅读,更多相关《数据库基本加固方案(21页珍藏版)》请在金锄头文库上搜索。
1、技术文件技术文件名称:Oracle数据库基本加固方案技术文件编号:版本:V1.2.1文件质量等级:共17页(包括封面)核 会签标准化 批准中兴通讯股份有限公司修改记录文件编号版本号拟制人/修改人拟制/修改 日期更改理由主要更改内容 (写要点即可)1.0王华刚2009/04/15无无1.1王华刚2009/06/01补充内容补充修改密码有效期90天之前要改密码冋题1.2王华刚2009/06/15配置编号配置加固项编号1.2.1王华刚2009/07/02更新配置编号更新配置编号注1:每次更改归档文件(指归档到事业部或公司档案室的文件)时,需填写此表 注2 :文件第一次归档时,“更改理由”、“主要更改
2、内容”栏写“无”。豆。本文所有信息为中兴通讯股份有限公司内部信息,未经允许,不得外传第 #页,共 17页Oracle 系统基本加固方案目录(包括封面 ) 1修改记录 21概述 4内部适用性说明 4外部引用说明 4术语和定义 4符号和缩略语 42Oracle 安全配置操作指导 52.1 ZTE-Oracle-E01 Oracle组件安装 52.1.1 ZTE-Oracle-EM01 -01 Oracle 最小组件安装 52.2 ZTE-Oracle-E02 帐号安全加固操作 52.2.1 ZTE-Oracle-EH02-01 删除锁定无用帐号 5222 ZTE-Oracle-EM02-02 操作
3、系统 dba 组只有 oracle (或还有 oinstall)用户62.2.3 ZTE-Oracle-EH02-03修改默认密码并使用强密码 72.2.4 ZTE-Oracle-EL02-04设置口令生存期为 90天(可选) 72.2.5 ZTE-Oracle-EL02-05禁止重复密码 72.2.6 ZTE-Oracle-EL02-06 配置当用户连续认证失败次数超过 6次(不含 6次),锁定该用户使用的账号(可选) 82.2.7 ZTE-Oracle-EL02-07设置只有sysdba权限的用户才可以访问数据字典82.3 ZTE-Oracle-E03 审计要求(可选) 82.3.1 ZT
4、E-Oracle-EL03-01审计方案 82.4 ZTE-Oracle-E04 数据库连接安全 92.4.1 ZTE-Oracle-EL04-01设定 listener 密码(可选,确定对双机切换的影响)92.4.2 ZTE-Oracle-EM04-02配置访问 listener 的白名单 92.4.3 ZTE-Oracle-EL04-03配置连接超时断开(可选) 92.4.4 ZTE-Oracle-EL04-04加密数据库网络连接(可选) 102.5 ZTE-Oracle-E05 日志配置 102.5.1 ZTE-Oracle-EL05-01打开登录日志 102.6 ZTE-Oracle-
5、E06 数据库安全组件配置 112.6.1 ZTE-Oracle-EL06-01使用 Data Vault 选件(可选,待补充) 112.6.2 ZTE-Oracle-EL05-02使用虚拟私有数据库和标签安全选件 (可选,待补充)112.7 ZTE-Oracle-E07 安装验证过的数据库补丁 112.7.1 ZTE-Oracle-EH07-01 安装经过验证的最新数据库补丁 113 附录 113.1.1 Oracle 用户帐号速查 11Oracle系统基本加固方案1概述内部适用性说明本方案是在业务研究院网络安全规范中各项要求的基础上,提出Oracle数据库安全配置指南,针对通用规范中所列的
6、配置要求,给出了在Oracle数据库上的具体配置方法。外部引用说明中国移动设备通用安全功能和配置规范中国移动数据库设备安全功能规范中国移动Oracle数据库安全配置规范术语和定义符号和缩略语缩写英文描述中文描述DBADatabase Admi nistrator数据库管理员VPDVirtual Private Database虚拟专用数据库OLSOracle Label SecurityOracle标签安全本文件中的字体标识如下:蓝色斜体在具体执行时需要替换的内容检查/加固项编码意义如下:公司名称-操作系统-条目性质 风险级别 数字编号-小项数字编号条目性质中:S意为检查;E意为加固风险级别中
7、:H意为高风险;M意为中等风险;L意为低风险,风险级别仅存于具体条目中2 Oracle安全配置操作指导2.1 ZTE-0 racle-E01 Oracle组件安装最小组件安装2.1.1 ZTE-Oracle-EM01 -01 Oracle项目给出使用到的组件列表:Oracle版本Oracle组件WAP网关彩信短信Oracle9iOracle10g2.2 ZTE-Oracle-E02帐号安全加固操作2.2.1 ZTE-Oracle-EH02-01 删除锁定无用帐号锁定:SQLalter user user name acco unt lock;删除:SQLdrop user user name
8、cascade;删除用户WAP网关彩信短信SCOTTANONYMOUSCTXSYSDBSNMP可以锁定/删除DIPDMSYSEXFSYSHRLBACSYSMDDATAMDSYSMGMT VIEWODMQSWKPROXYWKSYSODM MTROLAPSYSORDPLUGINSOEORDSYSOUTLN可以锁定/删除SHSI INFORMTN SCHEMAWMSYS可以锁定/删除XDBTSMSYSWK TESTSYSMANRMANQS WSQS OSQS ESQS CSQS CBADMQS CBPM QS ADM222 ZTE-Oracle-EM02-02操作系统 dba 组只有 oracle
9、(或还有oinstall )用户具体操作请参考相关操作系统加固方案223 ZTE-Oracle-EH02-03 修改默认密码并使用强密码建立密码验证函数,内容如下vcrify_wsswJ-沁执行脚本不会对原有密码造成影响,因此还需要再修改密码:SQLAlter user sys ide ntified by passwordSQLAlter user system ide ntified by passwordSQLAlter user 业务用户 identified by password需要修改密码的业务用户列表:业务需要修改口令的用户WAP网关sys、system、其他业务补充,必须修改
10、帐号 密码才能进行下一步设定密码生存期的操作彩信sys、system、其他业务补充,必须修改帐号 密码才能进行下一步设定密码生存期的操作短信sys、system、其他业务补充,必须修改帐号 密码才能进行下一步设定密码生存期的操作修改用户密码后,需要进行的其他操作:业务修改用户密码后的操作说明WAP网关彩信短信如果有双机环境,修改sys/system密码,注意双机切换脚本的有效性。2.2.4 ZTE-Oracle-EL02-04设置口令生存期为 90天(可选)SQLalter pro LIMIT PASSWORD_LIFE_TIME 90说明:在修改profile之前,必须进行2.2.3中的修改
11、密码操作,如果不修改,可能在限定密 码生存期之后登录失败2.2.5 ZTE-Oracle-EL02-05禁止重复密码SQLalter pro LIMIT PASSWORD_REUSE_MAX 5226 ZTE-Oracle-EL02-06配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号(可选)SQLalter pro LIMIT FAILED_LOGIN_A TTEMPTS 62.2.7 ZTE-Oracle-EL02-07设置只有 sysdba权限的用户才可以访问数据字典使用pfile的情况:修改 pfile 文件参数 O7_DICTIONARY_ACCESSIBILIT
12、Y = false配置后重新启动数据库生效使用spfile的情况:SQLAlter system set O7_DICTIONARY_ACCESSIBILITY = FALSE scope=spfile配置后重新启动数据库生效说明,pfile文件默认位置如下:Unix : $ORACLE_HOME/dbs/init SID.oraWindows : %ORACLE_HOME%DATABASEinit SID.oraSID为Oracle数据库标识符2.3 ZTE-Oracle-E03审计要求(可选)2.3.1 ZTE-Oracle-EL03-01审计方案oracle审计功能的 使用与注意事项.d
13、oc业务需要审计的表需要审计的操作WAP网关彩信短信2.4 ZTE-Oracle-E04数据库连接安全2.4.1 ZTE-Oracle-EL04-01 设定 listener 密码(可选,确定对双机切换的影响)$ IsnrctlLSNRCTL cha nge_passwordOld password: Not displayedNew password: Not displayedReen ter new password: Not displayedConnectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST= oraclehost)(PORT=
