收藏
下载资源

中国移动Oracle数据库安全配置规范正式下发版样本

上传人:人*** 文档编号:564627669 上传时间:2023-03-27 格式:DOC 页数:22 大小:335.50KB
返回 下载 相关 举报
中国移动Oracle数据库安全配置规范正式下发版样本_第1页
第1页 / 共22页
中国移动Oracle数据库安全配置规范正式下发版样本_第2页
第2页 / 共22页
中国移动Oracle数据库安全配置规范正式下发版样本_第3页
第3页 / 共22页
中国移动Oracle数据库安全配置规范正式下发版样本_第4页
第4页 / 共22页
中国移动Oracle数据库安全配置规范正式下发版样本_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《中国移动Oracle数据库安全配置规范正式下发版样本》由会员分享,可在线阅读,更多相关《中国移动Oracle数据库安全配置规范正式下发版样本(22页珍藏版)》请在金锄头文库上搜索。

1、资料内容仅供您学习参考,如有不当或者侵权,请联系改正或者删除。 -01-02实施 -12-01发布中国移动通信集团公司发布中国移动Oracle数据库安全配置规范Specification for Oracle Database Configuration Used in China Mobile版本号: V.1.0.0 网络与信息安全规范编号:【网络与信息安全规范】【第二层: 技术规范网元类】【第2501号】目 录1概述41.1适用范围41.2内部适用性说明41.3外部引用说明51.4术语和定义51.5符号和缩略语52ORACLE安全配置要求52.1账号62.2口令102.3日志142.4其它

2、17前 言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位: 中国移动通信有限公司网络部本标准解释单位: 同提出单位本标准主要起草人: 中国移动通信集团辽宁公司 房仲阳 136098 8 中国移动集团公司陈敏时 1 概述1.1 适用范围本规范适用于中国移动通信网、 业务系统和支撑系统的Oracle数据库。本规范明确了Oracle数据库安全配置方面的基本要求。1.2 内部适用性说明本规范是在中国移动设备通用设备安全功能和配置规范( 以下简称通用规范) 各项设备配置要求的基础上, 提出的Oracle数据库安全配置规范。以下分项列出本规范对通用规范设备

3、配置要求的修订情况。编号采纳意见补充说明安全要求-设备-通用-配置-1-可选完全采纳安全要求-设备-ORACLE-配置-1-可选安全要求-设备-通用-配置-2-可选完全采纳安全要求-设备-ORACLE-配置-2-可选安全要求-设备-通用-配置-3-可选不采纳ORACLE不支持在远程登陆时经过切换用户提升权限安全要求-设备-通用-配置-4完全采纳安全要求-设备-ORACLE-配置-4安全要求-设备-通用-配置-5完全采纳安全要求-设备-ORACLE-配置-5安全要求-设备-通用-配置-6-可选完全采纳安全要求-设备-ORACLE-配置-6-可选安全要求-设备-通用-配置-7-可选完全采纳安全要求

4、-设备-ORACLE-配置-7-可选安全要求-设备-通用-配置-9完全采纳安全要求-设备-ORACLE-配置-8安全要求-设备-通用-配置-12完全采纳安全要求-设备-ORACLE-配置-16安全要求-设备-通用-配置-13-可选完全采纳安全要求-设备-ORACLE-配置-17-可选安全要求-设备-通用-配置-24-可选完全采纳安全要求-设备-ORACLE-配置-18-可选安全要求-设备-通用-配置-14-可选不采纳系统不支持安全要求-设备-通用-配置-16-可选不采纳不适用安全要求-设备-通用-配置-17-可选不采纳不适用安全要求-设备-通用-配置-19-可选不采纳不适用安全要求-设备-通用

5、-配置-20-可选不采纳不适用本规范新增的安全配置要求, 如下: 安全要求-设备-ORACLE-配置-3安全要求-设备-ORACLE-配置-9安全要求-设备-ORACLE-配置-10-可选安全要求-设备-ORACLE-配置-11安全要求-设备-ORACLE-配置-12安全要求-设备-ORACLE-配置-13安全要求-设备-ORACLE-配置-14-可选安全要求-设备-ORACLE-配置-15-可选安全要求-设备-ORACLE-配置-19-可选安全要求-设备-ORACLE-配置-20安全要求-设备-ORACLE-配置-21安全要求-设备-ORACLE-配置-22-可选安全要求-设备-ORACLE

6、-配置-23-可选安全要求-设备-ORACLE-配置-241.3 外部引用说明中国移动通用安全功能和配置规范1.4 术语和定义1.5 符号和缩略语缩写英文描述中文描述DBADatabase Administrator数据库管理员VPDVirtual Private Database虚拟专用数据库OLSOracle Label SecurityOracle标签安全2 ORACLE安全配置要求本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求, 在未特别说明的情况下, 均适用于ORACLE数据库。本规范从ORACLE数据库的认证授权功能、 安全日志功能, 和其它自身安全配置功能提出安全

7、要求。2.1 账号ORACLE应提供账号管理及认证授权功能, 并应满足以下各项要求。编号: 安全要求-设备-ORACLE-配置-1-可选要求内容应按照用户分配账号, 避免不同用户间共享账号。操作指南1、 参考配置操作create user abc1 identified by password1;create user abc2 identified by password2;建立role, 并给role授权, 把role赋给不同的用户2、 补充操作说明1、 abc1和abc2是两个不同的账号名称, 可根据不同用户, 取不同的名称; 检测方法3、 判定条件不同名称的用户能够连接数据库4、 检测

8、操作connect abc1/password1连接数据库成功5、 补充说明编号: 安全要求-设备-ORACLE-配置-2-可选要求内容应删除或锁定与数据库运行、 维护等工作无关的账号。操作指南1、 参考配置操作alter user username lock;drop user username cascade;2、 补充操作说明检测方法3、 判定条件首先锁定不需要的用户在经过一段时间后, 确认该用户对业务确无影响的情况下, 能够删除4、 检测操作5、 补充说明编号: 安全要求-设备-ORACLE-配置-3要求内容限制具备数据库超级管理员( SYSDBA) 权限的用户远程登录。操作指南1、

9、参考配置操作1. 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。2. 在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用 SYSDBA 角色的自动登录。2、 补充操作说明检测方法3、 判定条件1. 不能经过Sql*Net远程以SYSDBA用户连接到数据库。2. 在数据库主机上以sqlplus /as sysdba连接到数据库需要输入口令。4、 检测操作1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3. 使用sh

10、ow parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。Show parameter REMOTE_LOGIN_PASSWORDFILE4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。5、 补充说明编号: 安全要求-设备-ORACLE-配置-8要求内容在数据库权限配置能力内, 根据用户的业务需要, 配置其所需的最小权限。操作指南1、 参考配置操作grant权限to username;revoke 权限from us

11、ername;2、 补充操作说明用第一条命令给用户赋相应的最小权限用第二条命令收回用户多余的权限检测方法3、 判定条件业务测试正常4、 检测操作业务测试正常5、 补充说明编号: 安全要求-设备-ORACLE-配置-9要求内容使用数据库角色( ROLE) 来管理对象的权限。操作指南1、 参考配置操作1. 使用Create Role命令创立角色。2. 使用用Grant命令将相应的系统、 对象或Role的权限赋予应用用户。2、 补充操作说明检测方法3、 判定条件对应用用户不要赋予DBA Role或不必要的权限。4、 检测操作1. 以DBA用户登陆到sqlplus中。2. 经过查询dba_role_p

12、rivs、 dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。5、 补充说明编号: 安全要求-设备-ORACLE-配置-10-可选要求内容对用户的属性进行控制, 包括密码策略、 资源限制等。操作指南1、 参考配置操作可经过下面类似命令来创立profile, 并把它赋予一个用户CREATE PROFILE app_user2 LIMIT FAILED_LOGIN_ATTEMPTS 6 PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_VERIFY_F

13、UNCTION verify_function PASSWORD_LOCK_TIME 1/24 PASSWORD_GRACE_TIME 90;ALTER USER jd PROFILE app_user2;2、 补充操作说明检测方法3、 判定条件1. 可经过设置profile来限制数据库账户口令的复杂程度, 口令生存周期和账户的锁定方式等。2. 可经过设置profile来限制数据库账户的CPU资源占用。4、 检测操作1. 以DBA用户登陆到sqlplus中。2. 查询视图dba_profiles和dba_usres来检查profile是否创立。5、 补充说明编号: 安全要求-设备-ORACLE

14、-配置-13要求内容启用数据字典保护, 只有SYSDBA用户才能访问数据字典基础表。操作指南1、 参考配置操作经过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。O7_DICTIONARY_ACCESSIBILITY = FALSE2、 补充操作说明检测方法3、 判定条件以普通dba用户登陆到数据库, 不能查看X$开头的表, 比如: select * from sys. x$ksppi;4、 检测操作1. 以Oracle用户登陆到系统中。2. 以sqlplus /as sysdba登陆到sqlplus环境中。3. 使用show parameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。Show parameter O7_DICTIONARY_ACCESSIBILITY5、 补充说明2.2 口令编号: 安全要求-设备-ORACLE-配置-4要求内容对于采用静态口令进行认证的数据库, 口令长

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号