Oracle数据库安全配置标准
Oracle数据库11g标准版和企业版区别
支持
支持
可管理性
支持
支持
企业管理器通过单一集成的控制台,管理和监控所有基于Oracle产品系列的管理软件和系统。
支持
支持
支持
自动内存管理自动管理Oracle数据库实例使用的共享内存。
支持
自动存储管理提供跨所有服务器和存储平台的一致的存储管理界面。
支持
支持
支持
自动撤消管理监控所有Oracle系统的参数设置、安全设置、存储和文件空间条件的配置。
支持
Unix
支持
支持
支持
支持 64 位
支持
支持
支持
高可用性
故障保护配置和验证Windows集群,并通过与微软集群服务器集成的高可用性软件快速、准确地自动恢复。
支持
支持
支持
回闪查询无需复杂、耗时的操作即可恢复更早版本的数据。
支持
支持
支持
回闪表、数据库和事务查询诊断和撤销错误操作以缩短恢复时间。
支持
数据卫士创建、维护并监控一个或多个备用数据库,以保护企业数据不受故障、灾难、错误和损坏的影响。更多信息
Oracle数据库11g有多个版本可供选择:标准版1、标准版和企业版。
主要功能汇总
标准版1
标准版
企业版
CPU最大数量
2 Sockets的最大容量
操作系统允许的最大容量
操作系统允许的最大容量
数据库规模
无限制
无限制
无限制
Windows
支持
支持
支持
Linux
支持
支持
可伸缩性
真正应用集群跨多个相互连接或“集群的”服务器运行任意未做更改的打包或定制的管理软件。
ORACLE安全配置基线
profile and dba users . account status二'OPEN' and
resource 且拥e二'PASSWORD GRACE TIME'
基线符合性 判定依据 加固方案
查询结果中 PASSWORD GRACE TlME 小子等于 70 设置 PASSWORD_GRACE_TIME 小子等于 7
3)
将返回结果不必需的账号列表对比,如发现无关账号.表明不符
合安全要求 E 根据列表只保留必需!账号.结合实际情况锁定(或删除)无关账
号Q
锁定账号
删除账号
al ter
user <username> account lock;
dtop ilser 勺lsern础l e) cascad已 1
风险等级
高
1. 1 .2 眼制超级管理员远程登录
第 l 页共 6 页
ORACLE 安全配置基线
基线符合性 判定依据
07 DICTIONARY ACCESSIBILITYE Show parameter 07_DICTIONARY_ACCESSIBILITY 参数 07 DICTIONARY ACCESSIBILITY 是否设置为 FAL乒E
Ð7_DICTIONARY_ACCESSIBILITY 二 FAlβE 则表明符合安全要求。
风险等级
备注
高
密码过期后 7 天内不修改密码,密码将失效
1. 1. 7 口令复杂度策略
对于采用静态口令进行认证的数据库,口令长度至少 B 位,并包括数
安全基线项说明
字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次以内不 得设置相同的口令。密码应至少每 90 天进行更换 。 以 Oracle 用户登陆到系统中;
企业Oracle数据库的安全性方案
ac∞) c 开户的用户信息 , 则可以先刨建视 该角 色授权给各营业 罔点 。
图 v w I i : e
C REA EW i w. S TE VI ve 1 A
下面是一个用户 自 定义角色的例子 . 首 先定义了一个角色 rl一 , o 1 然后给该角色授 e 予对表 a c n( co t帐表)的所有操作权限 . u 最 后将该角色赋给了名为 uel sr 的用户。这样
② 设置密码生存期。通过修改 环境 文 提 供 了 行 级 的 安 全 性
件 P SWOR L C I AS D.O K TME的值 可 以 限 2.2 列 缎 安 全 性 1 制用户 密码 的使用期限。例如 , 用如下 使
用 户 每 2 天 改 变 一 次 口令 。 0
A TE P L R ROF L i t d rf e L MI I E lmi p o l I T e i P S AS WORD — CK I M E 2 O L T 0;
对于数据 库对象权限 的管理 . B D A可 如何碱化授权操作的。
效 如果企业数据库啦有采取 足够的安全措 以考虑使用视图.实践证明这是一种简单 旎 .就有可能使非法用户侵^ Oal r e数据 有效的权限管理方式 DB c A可以为不同的 库. 造成数据泄露或破坏 . 而给企业造成 用户定义不同的视 图,以限制各个用户的 从 不可估量 的损失。 那么如何保证企业数据库 访 问范 围 。 际 上 . al 行 级 安 全 性 和 到 实 r o ce 安全可靠 呢?笔者总结长期 D A的实践经 级安 全性 都可 以通 过 视 图来 实 现 。 B
Oracle9i安装配置
审计策略
可以启用审计策略来记录对数据库的访问和 操作,以便于跟踪和监控数据库的安全性。
日志管理
通过配置日志文件和日志轮换,可以记录数 据库的运行情况和重要事件,便于故障排查 和性能分析。
06 常见问题及解决方案
安装过程中的常见问题及解决方案
问题
安装程序无法找到有效的Oracle安装。
解决方案
确保Oracle安装程序路径正确,并且 具有足够的权限访问该路径。
问题
安装过程中出现错误提示。
解决方案
检查系统环境变量是否设置正确,包 括ORACLE_HOME、ORACLE_BASE、 PATH等。
问题
安装过程中出现磁盘空间不足的错误 提示。
解决方案
清理磁盘空间或增加磁盘空间,确保 有足够的空间进行Oracle安装。
使用过程中的常见问题及解决方案
问题
无法连接到数据库。
数据库的备份和恢复
备份策略
在Oracle9i中,可以采用不同的备份策略,如全备份、增量备份和差异备份等。根据实际情况选择合 适的备份策略,确保数据安全。
恢复方法
在Oracle9i中,可以采用不同的恢复方法,如点恢复和日志恢复等。根据实际情况选择合适的恢复方 法,确保数据完整性和可用性。
数据库的性能优化
硬件和系统要求
服务器硬件
Oracle9i需要强大的硬件支持,包括足够的内存(至少2GB)、存储空间(至 少100GB)和处理器(多核处理器推荐)。
操作系统
Oracle9i支持多种操作系统,如Windows、Linux和Solaris。确保操作系统版 本与Oracle9i兼容,并满足Oracle官方发布的系统要求。
Hale Waihona Puke 软件要求数据库软件
debezium oracle对数据库的要求
debezium oracle对数据库的要求Debezium 是Apache Kafka 的一个Change Data Capture (CDC) 工具,它能够捕获数据库中的更改并发布到Kafka 主题中。
使用Debezium 监控Oracle 数据库时,有一些要求和注意事项:1. 版本要求:Oracle Database 版本必须在11g 或更高。
Debezium 的Oracle connector 版本也需要与之兼容。
2. 监听模式:使用Debezium 时,您需要设置Oracle 的Change Data Capture (CDC) 监听模式。
有两种模式可用:`ROWID` 和`LOGMINER`。
`ROWID` 监听模式适用于较新的Oracle 版本,而`LOGMINER` 监听模式适用于更早的版本。
3. 网络和安全性:Debezium 需要与Oracle 数据库建立网络连接,因此需要确保网络通信是安全的,并且防火墙规则允许这种连接。
如果使用的是远程连接,需要确保Oracle 的TNSNAMES.ORA 文件正确配置,以便Debezium 能够连接到数据库。
4. 日志文件和配置:Debezium 需要读取Oracle 的redo log 文件以捕获更改。
确保redo log 文件的大小、频率和生命周期配置合理,以满足Debezium 的需要。
5. 用户权限:为了捕获更改,Debezium 需要有适当的权限来读取redo log 文件和访问数据。
确保为Debezium 提供的Oracle 用户具有适当的权限。
6. Kafka 设置:Debezium 将更改数据发布到Kafka 主题中,因此需要配置Kafka 并确保有足够的容量来处理这些数据。
7. 性能和资源:由于Debezium 需要实时读取redo log 文件,因此可能会对数据库性能产生影响。
建议在生产环境中进行性能测试,并监控资源使用情况。
Oracle数据库安全配置基线
Oracle数据库安全配置基线
简介
本文档旨在提供Oracle数据库的安全配置基线指南,以帮助确保数据库的安全性。
通过按照以下步骤进行配置,可以减少潜在的安全威胁和风险。
配置步骤
以下是Oracle数据库安全配置的基线步骤:
1. 安装最新的数据库补丁:确保在安装数据库之前,先安装最新的补丁程序,以修复已知的安全漏洞。
2. 禁用默认的系统帐户:在部署数据库之前,禁用默认的系统帐户(如SYSTEM、SYS、SYSMAN等),并创建自定义的管理员帐户。
3. 启用密码复杂性检查:使用强密码策略,确保数据库用户的密码具备足够的复杂性和强度。
4. 实施账户锁定策略:设置账户锁定策略,限制登录失败的次数,以防止暴力。
5. 限制数据库访问权限:核实数据库用户的访问权限,仅赋予他们所需的最低权限,以限制潜在的恶意操作。
6. 启用审计功能:启用Oracle数据库的审计功能,记录和监控数据库的所有活动,便于发现潜在的安全威胁。
7. 启用网络加密:使用SSL/TLS等加密协议,确保数据库与客户端之间的通信是安全和加密的。
8. 实施备份和恢复策略:定期备份数据库,并测试恢复过程,以防止数据丢失和灾难恢复。
9. 定期审查和更新安全配置:定期审查数据库的安全配置,并根据最新的安全标准和最佳实践的推荐,更新配置以提高安全性。
总结
通过遵循以上基线配置步骤,可以帮助提高Oracle数据库的安全性。
然而,在实际应用中,还应根据具体情况进行定制化的安全配置,并持续关注新的安全威胁和漏洞,及时进行更新和升级。
oracle等保整改手册
oracle等保整改手册Oracle等保整改手册是针对Oracle数据库等级保护标准的整改手册。
等级保护标准是一种信息安全管理制度,旨在确保关键信息系统的安全性和可靠性。
本手册将介绍Oracle数据库的整改措施,以满足等级保护要求。
1. 数据库安全配置:- 确保只有授权用户可以访问数据库,并使用强密码策略。
- 禁用默认或弱密码,并定期更换密码。
- 设置账号锁定策略,防止暴力破解。
- 禁用不必要的数据库服务和协议,减少潜在的攻击面。
- 定期升级和打补丁,以修复已知的安全漏洞。
2. 日志和审计:- 启用Oracle数据库的审计功能,记录关键操作和事件。
- 定期检查和分析审计日志,发现异常行为和威胁。
- 设置合适的审计策略,包括记录访问、权限变更和敏感数据操作。
- 保护审计日志,防止被未授权访问和篡改。
3. 数据访问控制:- 使用访问控制列表(ACL)或数据库防火墙,限制外部访问。
- 使用角色和权限管理,确保用户只能访问其需要的数据和功能。
- 配置数据库和操作系统的访问控制,限制非授权访问。
4. 数据备份和恢复:- 定期进行数据库备份,并验证备份文件的完整性。
- 存储备份数据在离线和安全的位置,以防止损坏或丢失。
- 实施灾难恢复计划,包括数据库恢复测试和备份策略。
5. 异常监测和响应:- 实施网络入侵检测系统(NIDS)和入侵防御系统(IPS),以监测和阻止攻击。
- 配置数据库日志监控工具,及时发现异常行为和攻击。
- 制定应急响应计划,包括事件响应流程和协调与相关部门的沟通。
通过遵循以上整改手册中的措施,可以提高Oracle数据库的安全性和合规性,确保系统不受未授权访问、数据泄露和恶意攻击的威胁。
请根据实际情况和具体需求,对手册中的措施进行适当调整和补充,以达到更好的安全防护效果。
Oracle数据库安全策略
2 O r a O r a l c e 数据库系统至少具有 以下一些 安全策略: ( 1 ) 保证数 2 ( 1 ) 应 用程 序开发者 和他们 的权 限; ( 2 ) 应用程 序开发 者 的 据库 的存在安 全, 确 保数据库系统 的安全首先要 确保数据库系
1数据库安全管理
以 修 改系统账户和安全域。 数 据库的安全 性是指保护数据库 , 防止非法 操作所 造成的 有操作系统权 限,
. 2数据安全策略 数据 泄露 、 篡 改或损坏 。 在计算 机 系统 中, 安全 性 问题普遍 存 2 数据安全包括在对象 级控制数据库访 问和使用的机制 , 它 在, 特 别是 当大 量用户共享数 据库 中的数据 时, 安全 问题尤 其
便于审计追 踪, 也为了限制对特 定的数据进行访 问; ( 6 ) 可 获性 。
2 . 3用户安全策略
用户安全策略包括一般用户、 最终用户、 管理员、 应用程 序 开发人员和应用程序管理员的安全策略。 ( 1 ) 一般 用户安全。 对于一 般用户安全, 主要考虑 口令 安全
用户一般可 以访 问数据库 以及所有被批准访问的数据 。
在每一个表空间中, 开发者所拥有的空 间份额。 问控制和 可审计 性等 ; ( 4 ) 保 障数据库 的完 整性 , 数据 库的完整 空间; 性包括物理完整性、 逻辑完整 性和元素完整 性。
越 来 越严 重。 本 文 围绕如何 保证 0 r a c 1 e 数 据库 具有较 高的安 全性 , 使 数据库 系统 处于一个 稳定安 全 的状 态下, 提 出了 相应 的安全 策略。 关键词 : 数据库 ; O r a l c e ; 安全 策略
数据库安全 性问题一直是人们关注 的焦点, 数据库数据 的 用户, 但也允许在 同一数据库实例中使用多种验 证方法。 丢 失以及数 据库被 非法用户 的侵 入对 于任何一 个应用系 统来
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX公司Oracle数据库安全配置标准(试行)1 目的为保证公司应用系统的信息安全,规范数据库层面的安全配置操作,制定本标准。
2 范围本标准适用于公司各个业务系统中使用的Oracle 10g及以上数据库系统。
3 安全配置标准3.1安装数据库的主机要求●主机应当专门用于数据库的安装和使用;●数据库主机避免安装在域控制器上;●硬件要求请参考Oracle 10g及以上各发行版自带的发行说明;●主机操作系统层面应当保证安全:Oracle数据库可以安装在Windows Server,Linux,及各类Unix系统上,数据库软件安装之前,应当保证主机操作系统层面的安全,需要对主机进行安全设置,补丁更新,防病毒软件安装等。
3.2数据库补丁安装标准日常运行维护中如果Oracle推出新的补丁,则应按照《基础平台运维管理办法》的相关规定,在进行评估、验证之后,升级相关补丁。
3.3数据库口令安全配置标准3.3.1 密码复杂性配置要求1.密码长度至少为8位2.必须为DBA帐户和普通帐户提供复杂的口令,需要包含以下字符:⏹英语大写字母 A, B, C, … Z⏹英语小写字母 a, b, c, … z⏹西方阿拉伯数字 0, 1, 2, (9)⏹非字母数字字符,如标点符号,@, #, $, %, &, *等⏹为用户建profile,调整PASSWORD_VERIFY_FUNCTION,对密码负载度进行设置:3.3.2 创建应用账号并授权创建用户:SQL>create user username identified by password;基本授权:SQL>grant connect,resource to username;创建表空间:SQL>create tablespace tablespace_name datafile ‘/home/oracle/tablespace_name.dbf’size 500m;用户与表空间对应:SQL>alter user username default tablespace tablespace_name;3.3.3 禁用不必要的数据库帐户针对每个数据库里的数据库帐号,确保没有测试帐号和无用的帐号存在。
如果存在,应该及时禁用。
使用如下语句查看数据库账号,并锁定不必要的账号SQL> select username,password,account_status,default_tablespace from dba_users;SQL> alter user test account lock;3.3.4 修改数据库缺省用户的初始密码在数据库安装时,应对数据库缺省用户的初始密码及时进行修改。
3.3.5 禁止操作系统与数据库间的单点登录除软件系统管理用户(如oracle,grid,splex)外不允许拥有command line的操作系统用户绕过数据库安全设置而直接访问数据库,即不允许其余用户加入到dba组中。
3.3.6 强制新用户登录时更改密码对于新增的数据维护用户,在系统中设置自动控制强制首次登陆修改密码,操作命令如下:alter user username password expire;3.4目录和文件安全标准3.4.1 数据库安装文件系统要求数据库软件应当安装在支持权限分配的分区文件系统上(如NTFS,EXT3等)。
3.4.2 目录保护配置要求受保护的目录如下表所示:对于control file的配置,要求数据库有2套或以上的Control file配置,以保证数据库的高安全性。
3.4.4 数据库重做日志的配置要求对于数据库redo log的配置,要求按照至少3组或以上的redo log,每组redo log含2个或以上的成员进行配置。
3.5监听器安全配置标准3.5.1 设置监听器密码通过设置监听器密码可以阻止大部分的菜鸟黑客的进攻,设置密码有两种方法,一种是通过lsnrctl命令来设置,另一种是直接修改listener.ora文件,第一种方法设置的密码是经过加密后存储在listener.ora中,而第二种方法是以明文的形式放在listener.ora中的,所以推荐使用第一种方式。
具体命令如下:LSNRCTL>set current_listener <监听器名>LSNRCTL>change_passwordold password: <如果之前没有设置密码就直接按回车>New password: <输入新密码>Reenter new password: <再次输入新密码>LSNRCTL>set passwordPassword: <输入刚刚设置的新密码>LSNRCTL>save_config设置好密码后,打开listener.ora,看是否有一条PASSWORDS_<监听器名>的记录,类似于PASSWORDS_LISTENER = F4BAA4A006C26134。
为监听器设置了密码后,必须到客户端重新配置连接。
上面的操作只适用于oracle 9i及以前的版本,Oracle10g以后,设置Listener密码已经不是安全检查的必要条件了,因为默认在10g里面除了启动监听的用户之外,其它用户都无法停止Listener(还有另外一些lsnrctl的命令也同样被禁止了,比如trace, reload等),即使Listener没有设置密码,因此对于Oracle10g及以上版本可不设置监听器密码。
3.5.2 开启监听器日志开启监听器日志功能是为了捕获监听器命令和防止密码被暴力破解。
开启监听器日志功能的命令为:LSNRCTL>set current_listener <监听器名>LSNRCTL>set passwordPassword: <输入监听器密码>LSNRCTL>set log_directory <oracle_home路径>/network/adminLSNRCTL>set log_file <sid名称>.logLSNRCTL>set log_status onLSNRCTL>save_config通过运行上面的命令,监听器将会在<ORACLE_HOME>/network/admin目录下创建一个<sid>.log日志文件,以后可以打开该文件查看一些常见的ORA-错误信息。
3.5.3 设置ADMIN_RESTRICTIONS在listener.ora文件中设置了ADMIN_RESTRICTIONS参数后,当监听器在运行时,不允许执行任何管理任何,届时,set命令将不可用,不论是在服务器本地还是从远程执行都不行,这时如果要修改监听器设置就只有手工修改listener.ora文件了,通过手工修改listener.ora,要使修改生效,只能使用lsnrctl reload命令或lsnrctl stop/start命令重新载入一次监听器配置信息。
在listener.ora文件中手动加入下面这样一行:ADMIN_RESTRICTIONS_<监听器名>=ON3.5.4 保护$TNS_ADMIN目录$TNS_ADMIN目录即我们通常看到的ORACLE_HOME/network/admin目录,它下面包含有listener.ora,tnsnames.ora,sqlnet.ora,protocol.ora等重要配置文件,前面已经提到,监听器的密码就是保存在listener.ora中的,如果不保护好,可能造成密码泄露,或整个文件被修改,这个目录下的listener.ora,sqlnet.ora,protocol.ora文件应该只开放给Oracle 主账户(通常是oracle或Administrator),而其他账户不能有任何权限,tnsnames.ora文件在Linux或Unix系统上权限可以设置为0644,在windows上可以设置其他用户为浏览,读取权限。
3.5.5 保护TNSLSNR和LSNRCTL在Linux或Unix服务器上,应该将这两个文件的权限设为0751,如果想更严格一点,可以设为0700,这样就只有安装oracle时指定的宿主用户可以执行它们了,这两个文件位于ORACLE_HOME/bin目录下。
保护这两个文件的目的是为了防止黑客直接破坏它们,如果tnslsnr 被破坏,监听器肯定不能启动,如果lsnrctl被破坏,可能植入恶意代码,在运行lsnrctl时就会执行其它黑客行为。
3.5.6 移除不用的服务默认安装时,会安装一个PL/SQL外部程序(ExtProc)条目在listener.ora中,它的名字通常是ExtProc或PLSExtProc,但一般不会使用它,可以直接从listener.ora中将这项移除,因为对ExtProc已经有多种攻击手段了。
有时可能会在多个实例之间拷贝listener.ora,请检查拷贝来的文件中是否含有不需要的服务,确保只留下确实需要的服务项目,减少监听器受攻击的面。
3.5.7 数据库使用的端口当Oracle 10g选择TCP/IP网络协议后,数据库监听如下端口:3.6数据库备份配置标准按照《备份管理办法》中的相关要求,使用备份工具,遵循并执行相关备份策略。
3.7数据库审计配置标准Oracle数据库对不用的数据库用户组设置不同的审计策略:(1)对于应用系统连接数据库用户(包括架构应用用户和外挂应用用户),应通过密码封存的方式来控制此类用户直接登录后台数据库的行为。
在此基础上,可不对此类用户开启数据库审计日志。
(2)对于批处理用户,首先要保证此类用户是独立的用户而不是数据库管理用户(即拥有sysdba和sysoper权限的用户),其次需要对此类用户的密码和用途进行严格管理,保证只有相应系统的应用系统管理员知悉此用户的密码并只将此用户用于批处理操作。
在此基础上,可不对此类用户开启数据库审计日志。
(3)对于数据库管理用户(即拥有sysdba和sysoper权限的用户),按照如下方式开启对该类用户所有操作的审计日志:alter system set audit_sys_operations=TRUE scope=spfile; (重起生效)alter system set audit_trail=OS scope=spfile;(重起生效)(4)对于除上述用户和监控用户、备份用户之外的数据库用户,按照如下方式开启对ALTER、AUDIT、INSERT、DELETE、GRANT、LOCK、DROP TABLE, CREATE TABLE数据库操作的审计日志:审计命令:AUDIT ALTER ANY TABLE;AUDIT INSERT ANY TABLE;AUDIT DELETE ANY TABLE;AUDIT LOCK any table;AUDIT DROP ANY TABLE;AUDIT CREATE ANY TABLE;audit grant any object privilege by access;audit grant any role by access;audit grant any privilege by access;--加上索引和视图:audit alter any index;audit drop any index;audit create any index;audit drop any view;audit create any view;--关闭审计noAUDIT ALTER ANY TABLE;noAUDIT INSERT ANY TABLE;noAUDIT DELETE ANY TABLE;noAUDIT LOCK any table;noAUDIT DROP ANY TABLE;noAUDIT CREATE ANY TABLE;noaudit grant any object privilege ;noaudit grant any role ;noaudit grant any privilege ;--默认新建对象审计:SQL> select * from all_def_audit_opts;ALT AUD COM DEL GRA IND INS LOC REN SEL UPD REF EXE FBK REA --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- -/- -/- -/- -/- -/- -/- -/- -/- -/- -/- -/- -/- -/- -/- -/- audit alter on default by session;audit audit on default by session;audit delete on default by session;audit grant on default by access;audit lock on default by session;SQL> select * from all_def_audit_opts;ALT AUD COM DEL GRA IND INS LOC REN SEL UPD REF EXE FBK REA--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---S/S S/S -/- S/S A/A -/- -/- S/S -/- -/- -/- -/- -/- -/- -/-(5)鉴于实际工作中密码封存方式及密码的用途管理存在一定风险,对于上述(1)和(2)类用户需打开重要对象(静态参数表)的审计。