Oracle数据库安全配置手册

Oracle数据库安全配置手册Version 1.0版本控制目录第一章目的与范围 (1)1.1目的 (1)1.2适用范围 (1)1.3数据库类型 (1)第二章数据库安全规范 (1)2.1操作系统安全 (1)2.2帐户安全 (2)2.3密码安全 (2)2.4访问权限安全 (2)2.5日志记录 (3)2.6加密 (3)2.7管理员客户端安全 (3)2.8安全补丁 (3)2.9审计 (3)第三章数据库安全配置手册 (4)3.1O RACLE数据库安全配置方法 (4)3.1.1 基本漏洞加固方法 (4)3.1.2 特定漏洞加固方法 (12)第一章目的与范围1.1 目的为了加强宝付的数据安全管理，全面提高宝付各业务系统的数据安全水平，保证业务系统的正常运营，提高业务服务质量，特制定本方法。

本文档旨在于规范宝付对各业务系统的Oracle数据库进行安全加固处理。

1.2适用范围本手册适用于对宝付公司的各业务系统的数据库系统加固进行指导。

1.3数据库类型数据库类型为Oracle 11g。

第二章数据库安全规范2.1 操作系统安全要使数据库安全，首先要使其所在的平台和网络安全。

然后就要考虑操作系统的安全性。

Oracle使用大量用户不需要直接访问的文件。

例如，数据文件和联机重做日志文件只能通过Oracle的后台进程进行读写。

因此，只有要创建和删除这些文件的数据库管理员才需要在操作系统级直接访问它们。

导出转储文件和其他备份文件也必须受到保护。

可以把数据复制到其他数据库上，或者是作为复制模式的一部分，或者是提供一个开发数据库。

若要保护数据的安全，就要对数据所驻留的每一个数据库及这些数据库的备份进行保护。

如果某人能从含有你的数据备份的数据库中带走备份磁带，那么你在数据库中所做的全部保密工作就失去意义。

必须防止对全部数据备份的非法访问。

2.2 帐户安全为了避免数据库帐户大量耗费系统资源，影响其它用户的正常访问，可以根据应用的实际需要，对数据库帐户所使用的资源（如CPU等）进行限制。

目录一、保护ORACLE数据库的安全 (1)二、ORACLE高效分页存储过程代码 (7)一、保护ORA CLE数据库的安全1、调整默认的安全设置最小权限原则1.1默认的用户查询用户及用户账号状态Select username, account_status from dba_users;SYS, SYSTEM, DBSNMP, SYSMAN这四个默认账号一般为可用，其他都不可用。

1.2Public权限Public是oracle的伪用户。

只要为public授予权限，那么所有的用户都会被授予此权限。

取消权限：Revoke execute on utl_file from public;1.3危险的程序包。

UTL_FILE:允许用户读写操作系统用户可访问的，运行oracle进程的任何文件和目录。

UTL_TCP：允许用户为了连接网络中所有可访问的地址而打开服务器机器上的tcp端。

UTL_SMTP：允许用户发送邮件信息。

UTL_HTTP：允许用户发送http消息和接收响应。

2、实例参数2.1 UTL_FILE_DIR(default: null)：允许PLSQL通过UTL_FILE来访问服务器的系统。

2.2 REMOTE_OS_AUTHENT(default: false) AND OS_AUTHENT_PREFIX(default: ops$) REMOTE_OS_AUTHENT：控制某个用户是否能够在不需要给出口令的情况下从远程计算机上连接数据库。

这个已过时了。

OS_AUTHENT_PREFIX：操作系统名被映射为oracle用户名之前必须应用这个前缀。

2.3 O7_DICTIONARY_ACCESSIBILITY(default: false)：控制使用ANY关键字授予对象权限的效果。

2.4 REMOTE_LOGIN_PASSWORDFILE：控制具有SYSDBA权限的用户是否能够通过网络连接实例。

oracle安全策略配置指引-V1.0ORACLE安全配置规范1.概述本规范适用于核心系统中运行的ORACLE数据库的安全配置（注册登记系统、客户服务系统、投资管理系统、网站系统、直销网上交易系统）；非核心系统所用的ORACLE数据库可根据实际需要参照进行配置。

2.版本时间版本修订人2012-09-14 1.0 陈兆荣3.ORACLE数据库安全配置要求3.1.身份鉴别3.1.1.账号配置A.冗余账号清理要求内容是否锁定多余的账户配置操作（参考）启动Oracle Enterprise Manager Console连接数据库，选择“安全性”->“用户”，鼠标右键将用户“锁定”；用system用户执行：alter user *** account lock;检查方法启动Oracle Enterprise Manager Console连接数据库，选择“安全性”->“用户”，查看列表检查；or拥有select any table权限用户执行查询语句：Select username,account_status from dba_users;B.是否启用口令复杂性函数要求内容所有用户启用口令复杂函数配置操作（参考）要求：用户名密码须不一致；密码最少长度12位（自定）；筛选简单密码（默认）；密码必须包含1个数字1个字母1个特殊字符；和前次密码最少n个字母不一致（可选）1）从数据库服务器$ROACLE_HOME/rdbms/admin/utlpwdmg.sql文件下载到本地；2）对文件verify_function函数中对应项进行修改（可请求熟悉同事支援）；3）用sysdba身份登陆并执行脚本中函数；4）登陆Oracle Enterprise Manager Console连接数据库，选择“安全性”->“概要文件”，对每个profile分别选择“口令”->“启用口令复杂性函数”；检查方法登陆Oracle Enterprise Manager Console连接数据库，选择“安全性”->“概要文件”，对每个profile分别选择“口令”检查是否启用口令复杂性函数；or拥有select any table权限用户执行查询语句：select * fromdba_profiles where resource_name='PASSWORD_VERIFY_FUNCTION';C.账户资源限制要求内容用户资源使用限制配置操作（参考）登陆Oracle Enterprise Manager Console连接数据库，选择“安全性”->“概要文件”，根据系统实际情况对每个profile中“一般信息”选项卡的进行设置，其中“并行会话数”须限制，非生产用户对“连接时间”与“空闲时间”应给予限制，其他结合系统情况进行合适配置。

Oracle数据库安全配置基线
简介
本文档旨在提供Oracle数据库的安全配置基线指南，以帮助确保数据库的安全性。

通过按照以下步骤进行配置，可以减少潜在的安全威胁和风险。

配置步骤
以下是Oracle数据库安全配置的基线步骤：
1. 安装最新的数据库补丁：确保在安装数据库之前，先安装最新的补丁程序，以修复已知的安全漏洞。

2. 禁用默认的系统帐户：在部署数据库之前，禁用默认的系统帐户（如SYSTEM、SYS、SYSMAN等），并创建自定义的管理员帐户。

3. 启用密码复杂性检查：使用强密码策略，确保数据库用户的密码具备足够的复杂性和强度。

4. 实施账户锁定策略：设置账户锁定策略，限制登录失败的次数，以防止暴力。

5. 限制数据库访问权限：核实数据库用户的访问权限，仅赋予他们所需的最低权限，以限制潜在的恶意操作。

6. 启用审计功能：启用Oracle数据库的审计功能，记录和监控数据库的所有活动，便于发现潜在的安全威胁。

7. 启用网络加密：使用SSL/TLS等加密协议，确保数据库与客户端之间的通信是安全和加密的。

8. 实施备份和恢复策略：定期备份数据库，并测试恢复过程，以防止数据丢失和灾难恢复。

9. 定期审查和更新安全配置：定期审查数据库的安全配置，并根据最新的安全标准和最佳实践的推荐，更新配置以提高安全性。

总结
通过遵循以上基线配置步骤，可以帮助提高Oracle数据库的安全性。

然而，在实际应用中，还应根据具体情况进行定制化的安全配置，并持续关注新的安全威胁和漏洞，及时进行更新和升级。

数据库安全规范1概述1.1适用范围本规范明确了Oracle数据库安全配置方面的基本要求。

1.2符号和缩略语2 ORACLE安全配置要求本规范所指的设备为ORACLE数据库。

本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。

本规范从ORACLE数据库的认证授权功能和其它自身安全配置功能提出安全要求。

2.1账号ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。

2.1.1按用户分配帐号2.1.2删除或锁定无关帐号2.1.3用户权限最小化要求内容在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

grant 权限to user name; revoke 权限 from user name;2、补充操作说明用第一条命令给用户赋相应的最小权限用第二条命令收回用户多余的权限业务测试正常4、检测操作业务测试正常5、补充说明2.1.4使用ROLE 管理对象的权限1. 使用Create Role 命令创建角色。

2.使用用Grant 命令将相应的系统、对象或 Role 的权限赋予应用用户。

2、补充操作说明对应用用户不要赋予 DBA Role 或不必要的权限。

4、检测操作 1.以DBA 用户登陆到 sqlplus 中。

2.通过查询 dba_role_privs 、dba_sys_privs 和 dba_tab_privs 等视图来检查 是否使用ROLE 来管理对象权限。

5、补充说明操作指南1、参考配置操作检测方法3、判定条件要求内容使用数据库角色（ROLE ）来管理对象的权限。

操作指南1、参考配置操作检测方法 3、判定条件2.1.5控制用户属性可通过下面类似命令来创建 Profile ，并把它赋予一个用户CREATE P ROFILE <p rofile_name>LIMIT FAILED_LOGIN_ATTE MPTS 6PASSWORD REUSE TIME 60P ASSWORD_REUSE_MAX 5P ASSWORD_VERIFY_FUNCTIONvenfy_fu nctionP ASSWORD_LOCK_TIME 1/24;ALTER USER<user_name> P ROFILE <p rofile_ name 〉; 2、补充操作说明4、检测操作2.查询视图dba_profiles 和dba_usres 来检查profile 是否创建。

1 安装oracle1.1安装服务1)双击oracle安装程序，开始安装，单击下一步2)选择安装路径，单击下一步3)选择安装的产品（此处选Oracle Database 9.2.0.1.0），单击下一步4)选择安装的版本（默认选企业版），单击下一步5)选择数据库配置（默认选择通用），单击下一步6)设置端口号（默认2030），单击下一步7)设置数据库名及SID名称，单击下一步(sywebserver)8)选择数据库文件目录的路径，单击下一步9)设置数据库字符集（默认），单击下一步10)单击“安装”，开始安装数据库11)安装过程中会提示插入磁盘2，选择磁盘2的路径，单击“确定”继续安装12)之后还会提示插入磁盘3，选择磁盘3的路径，单击“确定”继续安装13)安装程序对数据库进行配置并创建数据库14)设置数据库的管理员SYS、System的密码，此处分别设为sys、system。

1.2创建用户及数据库1)在开始－>程序－>Ora92－>Enterprise Manager Console打开oracle的管理界面2)选择独立启动，单击确定3)打开数据库，输入用户名、口令（system、system）登陆4)打开安全性－>用户，右键单击，在菜单中选择创建5)在弹出的窗口输入名称及口令（syportal、syportal）6)切换到角色选项卡，选择DBA角色，单击下箭头添加7)将DBA的管理选项勾选，单击创建8)提示用户创建成功9)重复步骤4）～8），分别创建用户syprivilege（用户/密码：syprivilege/syprivilege）、usm（用户/密码：usm/usm）1.3 导入数据1）开始菜单——运行——cmd2）进入到数据文件的存放路径3）执行数据恢复语句imp syportal/syportal fromuser=hljportal touser=syportal file=portaldata0115.dmp (imp 登陆用户/密码fromuser=原数据库用户名touser=现数据库用户file=数据数据文件名log=log.text)4）执行imp syprivilege/syprivilege fromuser=hljsyprivilege touser=sysyprivilege file=portaldata0115.dmp5）执行imp ums/ums fromuser=ums touser=ums file=portaldata0115.dmp。

Oracle数据库系统平安配置基线中国移动通信管理信息系统部2023年 4月1.假设此文档须要日后更新，请创立人填写版本限制表格，否那么删除版本限制表格。

目录第1章概述 (4)目的 (4)适用范围 (4)适用版本 (4)实施 (4)例外条款 (4)第2章帐号 (5)帐号平安 (5)删除不必要帐号* (5)限制超级管理员远程登录* (5)用户属性限制 (6)数据字典访问权限 (6)TNS登录IP限制* (7)第3章口令 (8)口令平安 (8)帐号口令的生存期 (8)重复口令运用 (8)认证限制* (9)更改默认帐号密码 (9)密码更改策略 (10)密码困难度策略 (10)第4章日志 (12)日志审计 (12)数据库审计谋略* (12)第5章其他 (13)其他配置 (13)设置监听器密码 (13)加密数据* (13)第6章评审与修订 (14)第1章概述1.1目的本文档规定了中国移动管理信息系统部所维护管理的ORACLE数据库系统应当遵循的数据库平安性设置标准，本文档旨在指导数据库管理人员进展ORACLE数据库系统的平安配置。

1.2适用范围本配置标准的运用者包括：数据库管理员、应用管理员、网络平安管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的ORACLE数据库系统。

1.3适用版本ORACLE数据库系统。

1.4实施本标准的说明权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中假设有任何疑问或建议，应刚好反应。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必需打算书面申请文件，说明业务需求和缘由，送交中国移动通信管理信息系统部进展审批备案。

第2章帐号2.1帐号平安2.1.1删除不必要帐号*平安基线工程名称数据库管理系统Oracle删除不必要帐号平安基线要求项平安基线编号SBL-Oracle-02-01-01平安基线项说明应删除或锁定与数据库运行、维护等工作无关的帐号。

XX公司Oracle数据库安全配置标准（试行）1 目的为保证公司应用系统的信息安全，规范数据库层面的安全配置操作，制定本标准。

2 范围本标准适用于公司各个业务系统中使用的Oracle 10g及以上数据库系统。

3 安全配置标准3.1安装数据库的主机要求●主机应当专门用于数据库的安装和使用；●数据库主机避免安装在域控制器上；●硬件要求请参考Oracle 10g及以上各发行版自带的发行说明；●主机操作系统层面应当保证安全：Oracle数据库可以安装在Windows Server,Linux,及各类Unix系统上，数据库软件安装之前，应当保证主机操作系统层面的安全，需要对主机进行安全设置，补丁更新，防病毒软件安装等。

3.2数据库补丁安装标准日常运行维护中如果Oracle推出新的补丁，则应按照《基础平台运维管理办法》的相关规定，在进行评估、验证之后，升级相关补丁。

3.3数据库口令安全配置标准3.3.1 密码复杂性配置要求1.密码长度至少为8位2.必须为DBA帐户和普通帐户提供复杂的口令，需要包含以下字符：⏹英语大写字母 A, B, C, … Z⏹英语小写字母 a, b, c, … z⏹西方阿拉伯数字 0, 1, 2, (9)⏹非字母数字字符，如标点符号，@, #, $, %, &, *等⏹为用户建profile，调整PASSWORD_VERIFY_FUNCTION，对密码负载度进行设置：3.3.2 创建应用账号并授权创建用户：SQL>create user username identified by password;基本授权：SQL>grant connect,resource to username;创建表空间：SQL>create tablespace tablespace_name datafile ‘/home/oracle/tablespace_name.dbf’size 500m;用户与表空间对应：SQL>alter user username default tablespace tablespace_name;3.3.3 禁用不必要的数据库帐户针对每个数据库里的数据库帐号，确保没有测试帐号和无用的帐号存在。

XXXXX
Oracle数据库安全配置操作手册
文档修订摘要
目录
1概述 (1)
1.1目的 (1)
1.2适用范围 (1)
2身份鉴别 (1)
2.1确保用户标识唯一 (1)
2.2禁用或删除无意义账号 (1)
2.3设置密码复杂度策略 (2)
2.4修改默认账号的密码 (2)
3用户授权 (3)
3.1为不同用户设置相应权限 (3)
4访问控制 (3)
4.1登陆失败锁定 (3)
4.2限制用户远程访问 (3)
4.3远程链接数设置 (4)
4.4连接超时设置 (4)
5日志审计 (4)
5.1设置日志审计策略 (4)
Oracle数据库安全配置操作手册
1概述
1.1目的
本文档规定了XXXXX的Oracle 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行Oracle 操作系统的安全合规性检查和配置。

1.2适用范围
本配置标准的使用者包括：服务器系统管理员、应用管理员。

本配置标准适用的范围包括：XXXXX的Oracle服务器系统。

2身份鉴别
2.1确保用户标识唯一
2.2禁用或删除无意义账号
2.3设置密码复杂度策略
2.4修改默认账号的密码
3用户授权
3.1为不同用户设置相应权限
4访问控制
4.1登陆失败锁定
4.2限制用户远程访问
4.3远程链接数设置
4.4连接超时设置
5日志审计
5.1设置日志审计策略。