ORACLE安全配置基线1.1.1删除不必要帐号基线符合性结合
要求
对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗
和实际业务情况判断符合要求.删除或锁定与设备运行、维判定依据护等与工作无关的帐号。数据库管理员列出所需的生产、运维账号列表查看当前用户账号列表SELECT*fromall_users;SELECT*fromdba_users;3)将返回结果不必需的账号列表对比,如发现无关账号.表明不符2日固
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
合安全要求E根据列表只保留必需!账号.结合实际情况锁定(或删除)无关账号Q锁定账号alteruser
accountlock;删除账号dtopilser勺lsern础le)cascad已1风险等级高1.1.2眼制超级管理员远程登录以Oracle用户登陆到系统中。检测操作步骤2)以sqlplusγassysdba'登陆到sqlplus环境中。使用showpararneter命令来检查参数Spfile中REMOTEL∞INPASSWORDFILE是否设置为NONEo基线符合性2)ShowparameterREMOTE_LOGIN_PASSIVORDFrLE判定依据检查在$ORACLE~HOME/hetwork/admin/sqlnet.ol'a文件中参数SQLNET.AUTHENTICATIONSERVICES是否设置为NONE,参数REMOTEL∞INPASSIVORDFILE设置为NONE;(限制远程登录)加固方案2)sqlne,t.ora文件中参数SQLNET.AUTHENTICATIONSERVICES设置成NONE;(限制本地帐号权限登录〉风险等级中例外各拉若存在rman备份,有从远程发起的备份,bt如connectsys/@crmdbllassysdba需重点确认是否有影响。1.1.3数据字典访问权限安全基线项说明启用数据字典保护,只有SYSDBA权限用户才能访问数据字典基础表。以Oracle用户登陆到系统中Q检测操作步骤2)以sqlplus~,Iassysdba'登陆到sqlplus环境中。3)使用showpararneter命令来检查参数第l页共6页ORACLE安全配置基线07DICTIONARYACCESSIBILITYEShowparameter07_DICTIONARY_ACCESSIBILITY参数07DICTIONARYACCESSIBILITY是否设置为FAL乒E基线符合性Ð7_DICTIONARY_ACCESSIBILITY二FAlβE则表明符合安全要求。判定依据参数07DICTIONARYACCESSIBILITY设置为FALSE加固方案a1tersystemsetOíDICTIONARYACCE$SIBILITY二FALSEscop6"'spfile牛风险等级中1.1.4TNS登录IP限制通过数据库所在操作系统或防火墙限制,只有信任的IP地址才能通过安全基线项说明监听器访问数据库。检测操作步骤只需在非信任的客户端以数据库帐号登陆Q基线符合性在非信任的客户端以数据库帐号登陆被提示拒绝。判定依据vi$ORACLE_HOME/network/admin/sqlnet.oya中设置以下行:加固方案tc口.valid口ode_checki口gyes2)tcp.invited_nodes二(ipl,ip2"')风险等级高备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。1.1.5重复口令使用对于采用静态口令认iiE技术的数据库,应配置数据库,使用户不能重安全基线项说明复使用最近5次(含5次)内己使用的口令。以Oraole用户登陆到系统中。2)以sqlplus‘/assysdba'登陆到sqlplus环境中旬执行:检测操作步骤selectresource_name,limitfromdba~t'ofiles,dba_userswheredba_profiles.profile二dbausersprofileanddba_users.acoountst岱tus='OPEN'andresourcen础e='PASSWORD_REUSE_MAX';基线符合性查询结果中PASSWORDREUSEMAX大子等于ι判定依据加固方案设置PASSWORDREUSEMAX大于等于5风险等级低备注第2页共6页ORACLE安全配置基线1.1.6口令更改策略安全基线项说明设置帐号宽限期以Oracle用户登陆到系统中。2)以sQlplus'/assysdba'登陆到UsQlplus环境中。3)执行selec-tresource_name~limitfromdba_profiles,检测操作步骤dba_userswheredba_profiles.profile二dbausersprofileanddbausers.accountstatus二'OPEN'andresource且拥e二'PASSWORDGRACETIME'基线符合性查询结果中PASSWORDGRACETlME小子等于70判定依据加固方案设置PASSWORD_GRACE_TIME小子等于7风险等级高备注密码过期后7天内不修改密码,密码将失效1.1.7口令复杂度策略对于采用静态口令进行认证的数据库,口令长度至少B位,并包括数安全基线项说明字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。以Oracle用户登陆到系统中;2)以sQlplus'/assysdba'登陆到UsQlplus环境中,3)执行:检测操作步骤selectlimitfromdba_profileswhereresource且础e二'PASSWORDVERIFYFUNCTION'由ldprofile1n(selectprofilefromdba_userswhereaccount_status='OPEN';基线符合性口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号囚判定依据类中至少两类。且5次以内不得设置相同的口令。为用户建profile,调整PASSWORDVERI问FUNCTION,指定密码复杂度。可通过下面类似命令来创建profile,并把它赋予一个用户SQL>showparameterresource_limitSQL)altersystemsetresource_limit二tTue;CREATEPROFILEprofile_nameLIMITFAILEDLOGINATTEMPTS6加固方案PASSWORDLIFETIME60PASSWORDREUSETIME60PASSWORDREUSEMAX5PASSWORD_VERIFY_FUNCTIONverifyj山1Cti011PASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERusernam巳PROFILEprofile_name;第3页共6页ORACLE安全配置基线风险|低1.1.8帐号口令的生存期安全基线项说明对于采用静态口令认证投来的数据库,帐号口令的生存期不长于90天u以O1'a01e用户登陆到系统中旬以sqlp1us‘/assysdba'登陆到sq1p1us环填申c检测操作步骤3)执行se1ectlimitfromdbajJrofi1eswhereresourcen础le=.PASSWORDLIFETI眶,andp1'ofi1ein(s:electprofilefr时ndba-usersw.her.e'accountst-atus工.OPEN'基线符合性查询结果中PASSWORD_LIFE~rIME小子等于900判定依据加固方案设置PASSWORDL1FET1胆小子等于90风险等级高备注重要账号不能过期1.1.9认证控制对于采用静态口令认i正技术的数据库,应配置当用户连续认证失败次安全基线项说明数超过10次,锁定该用户使用的帐号。以Orac1e用户登陆到系统中。2)以sqlplus‘/assys:dba'登陆到sq.lplus环境中。3)执行selectresource_name,limïtfromdba---'pr'ofil白,检测操作步骤dba_userswheredba_profiles.profile二dbauserspxofileanddba_users.aCcOlmt_st.atus二,OP凹.andresource_name='FA1LED_LOGIN_ATTEMPTS';基线符合性查询结果中FA1LEDLOGINATTEMPTS等于100判定依据加国方案设置FA1LED_LOG1N_ATTEMPTS等于10风险等级中对核心库、生产用户可不设置此基线。误操作或恶意超过10次,导致备注用户锁宠.可能会导致应用异常a1.1.10断开超时的空闲远程连接在某些应用环境下可设置数据库连接超时,比如数据库超过10分钟的空闲远程连接将自动断开。安全基线项说明|自动断开超过10分钟的空闲远程连接,以防止在长时间远程连接过程中被其他人窃听到敏感信息的泄露。同时防止远程人员在离开时并未锁屏或贝iJ有效保护,他人借助此时时间空闲进行违规操作带来不必要第4页共6页ORACLE安全配置基线的安全风险。检查$0队CLEHOME/network/础nin/sq1net.o1'a文件中是否设置参数检测操作步骤SQLNET,EXPIRE_TIMEo10分钟以上的无任何操作的空闲数据库连接被自动断开;基线符合性检查$ORACLEHOME/network/a也Iin/sq1net.ora文件中是否设置参数判定依据SQLNET.EXPIRE'TIME二100以安装orac1e用户登录到数据库所在的操作系统中,执行命令:加固方案vi$ORACLE_HOME/network/aclmin/sq1ne仁ora.,j国』日sqln旺.e.xplretime=lO风险等级高各注注意:如应用需求有长连接形式存在,该项有定风险p1.1.11设置监昕器密码安全基线项说明为数据库监听器CLISTENER)的关闭和启动设置密码。检查$ORACLE_HOME/network/admin!listener.ora文件中是否设置参检测操作步骤数PASSWORDSLISTENER;基线符合性正确设置参数PASSWORDSLISTENERo判定依据使用ls盯ct1stal"t或ls盯ct1stop命令起停1istener需要密码1皿rGt1LSNRGTL>startLSNRCTL>ch田1ge_passwo芷d加国方案LSNRCTDsetpasswordLSNRCTL>save_configLSNRCTL>exitchmod700$ORACLE~HOME/network!aclmin/1istener.ora风险等级高对使用集成管理命令进行自功吭{亭的数据库如RAC.可不设此口令,备注以防无法子工输入密码导致服务不可用1.1.12加密数据使用Oracle提供的高级安全选件柬加密客户端与数据库之间或中间件安全基线项说明与数据库之间的网络传输数据。检查$ORACLE_HOME/network/aclmin!sq1net.ora文件中是否设置检测操作步骤sq1net.encryption等参数基线符合性正确设置参数sq1net.encryption.并通过网络层捕获的数据库传输包判定依据为加密包c1)在Orao1eN巳tManager中选择HOracleAdv.ancedSeGUl寸ty"。加固方案2)选择En巳.ryptiono第5页共6页ORACLE安全配置基线3)选择Client或Server边项。4)选择加密类型。的输入加密种子(可选〉。6)选择加密算法(可选〉。7)保存网络配置Jsqlnet.ora被更新。风险等级中备注1.1.13数据库审计策略根据业务要求制定数据库审计策略。对用户登录进行记录p记录内容包括用户登录使用的帐号、登录是否成功、登录时间以及远程登录时用户使用的IP地址:用户对数据库的操作,包括但不限于以下内容:帐号创建、删除和权安全基线项说明限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户帐号,操作时间,操作内容以及操作结果;记录对与数据库相关的安全事件G以Oracle用户登陆到系统中。2)以sqlplus‘lassysdba'登陆到sqlplL/s环境中。3)使用showþaré;!metet命令来检查参数audit_trai1是否设置J检测操作步骤检查dbaaudittrail视图中或$ORACLE_BASE/adminladump目录下是否有数据。showparameteraudit._trail;showparameteraudit_sys_opera.tions;基线符合性参数audittrail不能设置为NONEo判定依据需设置具体的审计内容:加固方案可以设置数据库参数audit_sys~operations=true来审计所有SYS用户的操作。风险等级中AUDIT会有相应资源开销i青检查系统资源是否充足,特别是RAC环备注境,资源消耗较大。也可通过外围审计实现。第6页共6页
浙公网安备 33021202002483