Oracle数据库安全配置规范华为

密级：文档编号：项目代号：中国移动Oracle数据库安全配置手册Version 1.0中国移动通信有限公司二零零四年十一月拟制: 审核: 批准: 会签: 标准化:版本控制分发控制目录第一章目的与范围 (1)1.1目的 (1)1.2适用范围 (1)1.3数据库类型 (1)第二章数据库安全规范 (1)2.1操作系统安全 (1)2.2帐户安全 (2)2.3密码安全 (2)2.4访问权限安全 (2)2.5日志记录 (3)2.6加密 (3)2.7管理员客户端安全 (3)2.8安全补丁 (3)2.9审计 (3)第三章数据库安全配置手册 (4)3.1O RACLE数据库安全配置方法 (4)3.1.1 基本漏洞加固方法 (4)3.1.2 特定漏洞加固方法 (12)第四章附录：数据库安全问题及解决方案 (17)4.1数据库安全问题 (17)4.1.1 数据安全基本需求 (17)4.1.2 数据安全风险 (19)4.1.3 业界采用的安全技术 (21)4.1.4Oracle9i的安全解决之道 (21)4.2O RACLE9I 安全解决方案–提供端到端的安全体系结构 (23)4.2.1 Oracle9i Database 安全机制 (23)4.2.2 托管环境的安全 (26)4.2.3 网络中的安全——基于标准的公共密钥体系结构(PKI) (27)4.2.4 先进的用户和安全策略管理 (29)第一章目的与范围1.1 目的为了加强中国移动集团下属各公司的网络系统安全管理，全面提高中国移动集团下属各公司业务网和办公网的网络安全水平，保证网络通信畅通和信息系统的正常运营，提高网络服务质量，特制定本方法。

本文档旨在于规范中国移动集团下属各公司对Oracle数据库进行的安全加固。

1.2适用范围本手册适用于对中国移动集团下属各公司业务网和办公网系统的数据库系统加固进行指导。

1.3数据库类型数据库类型为Oracle9i Enterprise Edition。

oracle安全策略配置指引-V1.0ORACLE安全配置规范1.概述本规范适用于核心系统中运行的ORACLE数据库的安全配置（注册登记系统、客户服务系统、投资管理系统、网站系统、直销网上交易系统）；非核心系统所用的ORACLE数据库可根据实际需要参照进行配置。

2.版本时间版本修订人2012-09-14 1.0 陈兆荣3.ORACLE数据库安全配置要求3.1.身份鉴别3.1.1.账号配置A.冗余账号清理要求内容是否锁定多余的账户配置操作（参考）启动Oracle Enterprise Manager Console连接数据库，选择“安全性”->“用户”，鼠标右键将用户“锁定”；用system用户执行：alter user *** account lock;检查方法启动Oracle Enterprise Manager Console连接数据库，选择“安全性”->“用户”，查看列表检查；or拥有select any table权限用户执行查询语句：Select username,account_status from dba_users;B.是否启用口令复杂性函数要求内容所有用户启用口令复杂函数配置操作（参考）要求：用户名密码须不一致；密码最少长度12位（自定）；筛选简单密码（默认）；密码必须包含1个数字1个字母1个特殊字符；和前次密码最少n个字母不一致（可选）1）从数据库服务器$ROACLE_HOME/rdbms/admin/utlpwdmg.sql文件下载到本地；2）对文件verify_function函数中对应项进行修改（可请求熟悉同事支援）；3）用sysdba身份登陆并执行脚本中函数；4）登陆Oracle Enterprise Manager Console连接数据库，选择“安全性”->“概要文件”，对每个profile分别选择“口令”->“启用口令复杂性函数”；检查方法登陆Oracle Enterprise Manager Console连接数据库，选择“安全性”->“概要文件”，对每个profile分别选择“口令”检查是否启用口令复杂性函数；or拥有select any table权限用户执行查询语句：select * fromdba_profiles where resource_name='PASSWORD_VERIFY_FUNCTION';C.账户资源限制要求内容用户资源使用限制配置操作（参考）登陆Oracle Enterprise Manager Console连接数据库，选择“安全性”->“概要文件”，根据系统实际情况对每个profile中“一般信息”选项卡的进行设置，其中“并行会话数”须限制，非生产用户对“连接时间”与“空闲时间”应给予限制，其他结合系统情况进行合适配置。

目录1概述 (2)1.1适用范围 (2)1.2内部适用性说明 .......................................................................................................... 错误！未定义书签。

1.3外部引用说明 .............................................................................................................. 错误！未定义书签。

1.4术语和定义 .................................................................................................................. 错误！未定义书签。

1.5符号和缩略语 (2)2ORACLE安全配置要求 (2)2.1账号 (2)2.2口令 (7)2.3日志 (11)2.4其他 (13)1概述1.1适用范围本规范明确了Oracle数据库安全配置方面的基本要求。

1.2符号和缩略语2ORACLE安全配置要求本规范所指的设备为ORACLE数据库。

本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。

本规范从ORACLE数据库的认证授权功能、安全日志功能，和其他自身安全配置功能提出安全要求。

2.1账号ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。

2.1.1按用户分配帐号2.1.2删除或锁定无关帐号2.1.3限制SYSDBA用户的远程登录2.1.4用户权限最小化2.1.5使用ROLE管理对象的权限2.1.6控制用户属性2.1.7启用数据库字典保护2.2口令2.2.1静态口令认证的密码复杂度控制2.2.2静态口令认证的密码生命周期2.2.3静态口令认证的密码重复使用限制2.2.4景泰口令认证的连续登录失败的帐号锁定策略2.2.5更改数据库默认帐号的密码2.2.6操作系统级的帐户安全策略2.3日志2.3.1登录日志功能2.3.2DDL日志2.3.3数据库审记2.4其他2.4.1VPD与OLS2.4.2Data Vault2.4.3Listener设定密码保护2.4.4设定信任IP集2.4.5加密网络传输2.4.6断开超时的空闲远程连接2.4.7限制DBA组中的操作系统用户数量。

XXXXX
Oracle数据库安全配置操作手册
文档修订摘要
目录
1概述 (1)
1.1目的 (1)
1.2适用范围 (1)
2身份鉴别 (1)
2.1确保用户标识唯一 (1)
2.2禁用或删除无意义账号 (1)
2.3设置密码复杂度策略 (2)
2.4修改默认账号的密码 (2)
3用户授权 (3)
3.1为不同用户设置相应权限 (3)
4访问控制 (3)
4.1登陆失败锁定 (3)
4.2限制用户远程访问 (3)
4.3远程链接数设置 (4)
4.4连接超时设置 (4)
5日志审计 (4)
5.1设置日志审计策略 (4)
Oracle数据库安全配置操作手册
1概述
1.1目的
本文档规定了XXXXX的Oracle 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行Oracle 操作系统的安全合规性检查和配置。

1.2适用范围
本配置标准的使用者包括：服务器系统管理员、应用管理员。

本配置标准适用的范围包括：XXXXX的Oracle服务器系统。

2身份鉴别
2.1确保用户标识唯一
2.2禁用或删除无意义账号
2.3设置密码复杂度策略
2.4修改默认账号的密码
3用户授权
3.1为不同用户设置相应权限
4访问控制
4.1登陆失败锁定
4.2限制用户远程访问
4.3远程链接数设置
4.4连接超时设置
5日志审计
5.1设置日志审计策略。

oracle数据库安装及配置规范-v.————————————————————————————————作者：————————————————————————————————日期：Oracle数据库系统安装及配置规范2015-10目录1.数据库物理设计原则 (5)1.1.数据库环境配置原则51.1.1.操作系统环境51.1.2.内存要求51.1.3.交换区设计51.1.4.其他61.2.数据库设计原则61.2.1.数据库SID61.2.2.数据库全局名61.2.3.数据库类型选择61.2.4.数据库连接类型选择71.2.5.数据库SGA配置71.2.6.数据库字符集选择81.2.7.数据库其他参数配置91.2.8.数据库控制文件配置91.2.9.数据库日志文件配置101.2.10.数据库回滚段配置101.2.11.数据库临时段表空间配置111.2.12.数据库系统表空间配置111.3.数据库表空间设计原则111.3.1.表空间大小定义原则111.3.2.表空间扩展性设计原则121.4.裸设备的使用122.数据库逻辑设计原则 (13)2.1.命名规范132.1.1.表属性规范132.1.2.索引142.1.3.视图152.1.4.实体化视图152.1.5.存储过程152.1.6.触发器152.1.7.函数162.1.8.数据包162.1.9.序列162.1.10.表空间162.1.11.数据文件162.1.12.普通变量162.1.13.游标变量172.1.14.记录型变量172.1.15.表类型变量172.1.16.数据库链172.2.命名172.2.1.语言172.2.2.大小写182.2.3.单词分隔182.2.4.保留字182.2.5.命名长度182.2.6.字段名称182.3.数据类型182.3.1.字符型182.3.2.数字型192.3.3.日期和时间192.3.4.大字段192.3.5.唯一键192.4.设计202.4.1.范式202.4.2.表设计202.4.3.索引设计232.4.4.视图设计242.4.5.包设计242.4.6.安全性设计252.5.SQL编写262.5.1.字符类型数据262.5.2.复杂sql272.5.3.高效性272.5.4.健壮性282.5.5.安全性292.5.6.完整性303.备份恢复设计原则 (30)3.1.数据库exp/imp备份恢复303.1.1.数据库级备份原则303.1.2.用户级备份原则303.1.3.表级备份原则313.2.数据库冷备份原则313.3.Rman备份恢复原则313.3.1.Catalog数据库313.3.2.Archive Log333.3.3.全备份策略333.3.4.增量备份策略333.3.5.恢复原则333.4.备用数据库原则343.5.一些小经验343.6.系统调优知识353.6.1.生成状态报表（statspack的使用）353.6.2.sql追踪363.6.3.内存调整373.6.4.排序的优化403.6.5.统计信息414.设计工具 (42)1.数据库物理设计原则1.1.数据库环境配置原则1.1.1.操作系统环境对于中小型数据库系统，采用linux操作系统比较合适，对于数据库冗余要求负载均衡能力要求较高的系统，可以采用Oracle10gRAC 的集群数据库的方法，集群节点数范围在2—64个。

目录1概述 (2)1.1适用范围 (2)1.2内部适用性说明 .......................................................................................................... 错误！未定义书签。

1.3外部引用说明 .............................................................................................................. 错误！未定义书签。

1.4术语和定义 .................................................................................................................. 错误！未定义书签。

1.5符号和缩略语 (2)2ORACLE安全配置要求 (2)2.1账号 (2)2.2口令 (7)2.3日志 (11)2.4其他 (13)1概述1.1适用范围本规范明确了Oracle数据库安全配置方面的基本要求。

1.2符号和缩略语2ORACLE安全配置要求本规范所指的设备为ORACLE数据库。

本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。

本规范从ORACLE数据库的认证授权功能、安全日志功能，和其他自身安全配置功能提出安全要求。

2.1账号ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。

2.1.1按用户分配帐号2.1.2删除或锁定无关帐号2.1.3限制SYSDBA用户的远程登录2.1.4用户权限最小化2.1.5使用ROLE管理对象的权限2.1.6控制用户属性2.1.7启用数据库字典保护2.2口令2.2.1静态口令认证的密码复杂度控制2.2.2静态口令认证的密码生命周期2.2.3静态口令认证的密码重复使用限制2.2.4景泰口令认证的连续登录失败的帐号锁定策略2.2.5更改数据库默认帐号的密码2.2.6操作系统级的帐户安全策略2.3日志2.3.1登录日志功能2.3.2DDL日志2.3.3数据库审记2.4其他2.4.1VPD与OLS2.4.2Data Vault2.4.3Listener设定密码保护2.4.4设定信任IP集2.4.5加密网络传输2.4.6断开超时的空闲远程连接2.4.7限制DBA组中的操作系统用户数量。