資源描述:
《Oracle數(shù)據(jù)庫系統(tǒng)加固規(guī)范》由會員上傳分享����,免費在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1、Oracle數(shù)據(jù)庫系統(tǒng)加固規(guī)范目 錄1賬號管理�、認(rèn)證授權(quán)11.1賬號11.1.1SHG-Oracle-01-01-0111.1.2SHG-Oracle-01-01-0221.1.3SHG-Oracle-01-01-0331.1.4SHG-Oracle-01-01-0441.1.5SHG-Oracle-01-01-0551.1.6SHG-Oracle-01-01-0671.1.7SHG-Oracle-01-01-0781.1.8SHG-Oracle-01-01-08101.2口令111.2.1SHG-Oracle-01-02-01111.2.2SHG-Oracle-01-
2、02-02121.2.3SHG-Oracle-01-02-03141.2.4SHG-Oracle-01-02-04151.2.5SHG-Oracle-01-02-05162日志配置182.1.1SHG-Oracle-02-01-01182.1.2SHG-Oracle-02-01-02212.1.3SHG-Oracle-02-01-03222.1.4SHG-Oracle-02-01-04243通信協(xié)議253.1.1SHG-Oracle-03-01-01253.1.2SHG-Oracle-03-01-02264設(shè)備其他安全要求274.1.1SHG-Oracle-04-01-
3����、01274.1.2SHG-Oracle-04-01-02291賬號管理、認(rèn)證授權(quán)1.1賬號1.1.1SHG-Oracle-01-01-01編號SHG-Oracle-01-01-01名稱為不同的管理員分配不同的賬號實施目的應(yīng)按照用戶分配賬號����,避免不同用戶間共享賬號,提高安全性。問題影響賬號混淆�����,權(quán)限不明確��,存在用戶越權(quán)使用的可能��。系統(tǒng)當(dāng)前狀態(tài)select?*?from?all_users;?select?*?from?dba_users;記錄用戶列表實施步驟1���、參考配置操作createuserabc1identifiedbypassword1;createuserabc2
4����、identifiedbypassword2;建立role�����,并給role授權(quán)�����,把role賦給不同的用戶2��、補充操作說明1���、abc1和abc2是兩個不同的賬號名稱�,可根據(jù)不同用戶����,取不同的名稱;回退方案刪除用戶:例如創(chuàng)建了一個用戶A�,要刪除它可以這樣做connectsys/密碼assysdba;dropuserAcascade;//就這樣用戶就被刪除了判斷依據(jù)標(biāo)記用戶用途,定期建立用戶列表��,比較是否有非法用戶實施風(fēng)險高重要等級★★★備注1.1.1SHG-Oracle-01-01-02編號SHG-Oracle-01-01-02名稱刪除或鎖定無效賬號實施目的刪除或鎖定無效的賬號
5、����,減少系統(tǒng)安全隱患。問題影響允許非法利用系統(tǒng)默認(rèn)賬號系統(tǒng)當(dāng)前狀態(tài)select?*?from?all_users;?select?*?from?dba_users;記錄用戶列表實施步驟1��、參考配置操作alteruserusernamelock;//鎖定用戶dropuserusernamecascade;//刪除用戶回退方案刪除新增加的帳戶判斷依據(jù)首先鎖定不需要的用戶在經(jīng)過一段時間后��,確認(rèn)該用戶對業(yè)務(wù)確無影響的情況下���,可以刪除實施風(fēng)險高重要等級★★★備注1.1.1SHG-Oracle-01-01-03編號SHG-Oracle-01-01-03名稱限制超級管理員遠(yuǎn)程登錄實施目
6���、的限制具備數(shù)據(jù)庫超級管理員(SYSDBA)權(quán)限的用戶遠(yuǎn)程登錄。�。問題影響允許數(shù)據(jù)庫超級管理員遠(yuǎn)程非法登陸系統(tǒng)當(dāng)前狀態(tài)查看spfile,sqlnet.ora內(nèi)容實施步驟1、參考配置操作在spfile中設(shè)置REMOTE_LOGIN_PASSWORDFILE=NONE來禁止SYSDBA用戶從遠(yuǎn)程登陸���。在sqlnet.ora中設(shè)置SQLNET.AUTHENTICATION_SERVICES=NONE來禁用SYSDBA角色的自動登錄����?����;赝朔桨高€原spfile,sqlnet.ora文件配置判斷依據(jù)判定條件1.不能通過Sql*Net遠(yuǎn)程以SYSDBA用戶連接到數(shù)據(jù)庫�����。2.在數(shù)據(jù)庫主機
7����、上以sqlplus‘/assysdba’連接到數(shù)據(jù)庫需要輸入口令。檢測操作1.以O(shè)racle用戶登陸到系統(tǒng)中�。2.以sqlplus‘/assysdba’登陸到sqlplus環(huán)境中。3.使用showparameter命令來檢查參數(shù)REMOTE_LOGIN_PASSWORDFILE是否設(shè)置為NONE�����。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.檢查在$ORACLE_HOME/network/admin/sqlnet.ora文件中參數(shù)SQLNET.AUTHENTICATION_SERVICES是否被設(shè)置成NO
