中国移动Oracle数据库安全配置规范

2008-01-02实施2007-12-01发布中国移动通信集团公司发布中国移动Oracle数据库安全配置规范SpecificationforOracleDatabaseConfigurationUsedinChinaMobile版本号：V.1.0.0网络与信息安全规范编号:【网络与信息安全规范】·【第四层：技术规范·Oracle数据库】·【第4506号】目录TOC\o"1-3"\h\z\u前言本由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位：中国移动通信有限公司网络部本标准解释单位：同提出单位本标准主要起草人：中国移动通信集团辽宁公司房仲阳13概述适用范围本规范适用于中国移动通信网、业务系统和支撑系统的Oracle数据库。本规范明确了Oracle数据库安全配置方面的基本要求。内部适用性说明本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的Oracle数据库安全配置规范。以下分项列出本规范对《通用规范》设备配置要求的修订情况。编号采纳意见补充说明安全要求-设备-通用-配置-1-可选完全采纳安全要求-设备-ORACLE-配置-1-可选安全要求-设备-通用-配置-2-可选完全采纳安全要求-设备-ORACLE-配置-2-可选安全要求-设备-通用-配置-3-可选不采纳ORACLE不支持在远程登陆时通过切换用户提升权限安全要求-设备-通用-配置-4完全采纳安全要求-设备-ORACLE-配置-4安全要求-设备-通用-配置-5完全采纳安全要求-设备-ORACLE-配置-5安全要求-设备-通用-配置-6-可选完全采纳安全要求-设备-ORACLE-配置-6-可选安全要求-设备-通用-配置-7-可选完全采纳安全要求-设备-ORACLE-配置-7-可选安全要求-设备-通用-配置-9完全采纳安全要求-设备-ORACLE-配置-8安全要求-设备-通用-配置-12完全采纳安全要求-设备-ORACLE-配置-16安全要求-设备-通用-配置-13-可选完全采纳安全要求-设备-ORACLE-配置-17-可选安全要求-设备-通用-配置-24-可选完全采纳安全要求-设备-ORACLE-配置-18-可选安全要求-设备-通用-配置-14-可选不采纳系统不支持安全要求-设备-通用-配置-16-可选不采纳不适用安全要求-设备-通用-配置-17-可选不采纳不适用安全要求-设备-通用-配置-19-可选不采纳不适用安全要求-设备-通用-配置-20-可选不采纳不适用本规范新增的安全配置要求，如下：安全要求-设备-ORACLE-配置-3安全要求-设备-ORACLE-配置-9安全要求-设备-ORACLE-配置-10-可选安全要求-设备-ORACLE-配置-11安全要求-设备-ORACLE-配置-12安全要求-设备-ORACLE-配置-13安全要求-设备-ORACLE-配置-14-可选安全要求-设备-ORACLE-配置-15-可选安全要求-设备-ORACLE-配置-19-可选安全要求-设备-ORACLE-配置-20安全要求-设备-ORACLE-配置-21安全要求-设备-ORACLE-配置-22-可选安全要求-设备-ORACLE-配置-23-可选安全要求-设备-ORACLE-配置-24外部引用说明《中国移动通用安全功能和配置规范》术语和定义符号和缩略语缩写英文描述中文描述DBADatabaseAdministrator数据库管理员VPDVirtualPrivateDatabase虚拟专用数据库OLSOracleLabelSecurityOracle标签安全ORACLE安全配置要求本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。本规范从ORACLE数据库的认证授权功能、安全日志功能，和其他自身安全配置功能提出安全要求。账号ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。编号：安全要求-设备-ORACLE-配置-1-可选要求内容应按照用户分配账号，避免不同用户间共享账号。操作参考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并给role授权，把role赋给不同的用户补充操作说明1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；方法判定条件不同名称的用户可以连接数据库检测操作connectabc1/password1连接数据库成功5、补充说明编号：安全要求-设备-ORACLE-配置-2-可选要求内容应删除或锁定与数据库运行、维护等工作无关的账号。操作指南参考配置操作alteruserusernamelock;dropuserusernamecascade;补充操作说明检测方法判定条件首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除4、检测操作5、补充说明编号：安全要求-设备-ORACLE-配置-3要求内容限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。操作指南1、参考配置操作1.在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。2.在中设置=NONE来禁用SYSDBA角色的自动登录。2、补充操作说明检测方法3、判定条件1.不能通过Sql*Net远程以SYSDBA用户连接到数据库。2.在数据库主机上以sqlplus‘/assysdba’连接到数据库需要输入口令。4、检测操作1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE4.检查在$ORACLE_HOME/network/admin/文件中参数是否被设置成NONE。5、补充说明编号：安全要求-设备-ORACLE-配置-8要求内容在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南参考配置操作grant　权限　tousername;revoke权限　fromusername;补充操作说明用第一条命令给用户赋相应的最小权限用第二条命令收回用户多余的权限检测方法判定条件业务测试正常检测操作业务测试正常5、补充说明编号：安全要求-设备-ORACLE-配置-9要求内容使用数据库角色（ROLE）来管理对象的权限。操作指南1、参考配置操作1.使用CreateRole命令创建角色。2.使用用Grant命令将相应的系统、对象或Role的权限赋予应用用户。2、补充操作说明检测方法3、判定条件对应用用户不要赋予DBARole或不必要的权限。4、检测操作1.以DBA用户登陆到sqlplus中。2.通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。5、补充说明编号：安全要求-设备-ORACLE-配置-10-可选要求内容对用户的属性进行控制，包括密码策略、资源限制等。操作指南1、参考配置操作可通过下面类似命令来创建profile，并把它赋予一个用户CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;2、补充操作说明检测方法3、判定条件1.可通过设置profile来限制数据库账户口令的复杂程度，口令生存周期和账户的锁定方式等。2.可通过设置profile来限制数据库账户的CPU资源占用。4、检测操作1.以DBA用户登陆到sqlplus中。2.查询视图dba_profiles和dba_usres来检查profile是否创建。5、补充说明编号：安全要求-设备-ORACLE-配置-13要求内容启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。操作指南1、参考配置操作通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。O7_DICTIONARY_ACCESSIBILITY=FALSE2、补充操作说明检测方法3、判定条件以普通dba用户登陆到数据库，不能查看X$开头的表，比如：select*$ksppi;4、检测操作1.以Oracle用户登陆到系统中。2.以sqlplus‘/assysdba’登陆到sqlplus环境中。3.使用showparameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY5、补充说明口令编号：安全要求-设备-ORACLE-配置-4要求内容对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南参考配置操作为用户建profile，调整PASSWORD_VERIFY_FUNCTION，指定密码复杂度补充操作说明检测方法判定条件修改密码为不符合要求的密码，将失败检测操作alteruserabcd1identifiedbyabcd1;将失败5、补充说明编号：安全要求-设备-ORACLE-配置-5要求内容对于采用静态口令认证技术的数据库，账户口令的生存期不长于90天。操作指南参考配置操作为用户建相关profile，指定PASSWORD_GRACE_TIME为90天补充操作说明在90天内，需要修改密码检测方法判定条件到期不修改密码，密码将会失效。连接数据库将不会成功检测操作connectusername/password报错5、补充说明编号：安全要求-设备-ORACLE-配置-6-可选要求内容对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南参考配置操作为用户建profile,指定PASSWORD_REUSE_MAX为５补充操作说明当前使用的密码，必需在密码修改５次后才能再次被使用检测方法判定条件重用修改５次内的密码，将不能成功检测操作alteruserusernameidentifiedbypassword1;如果password1在５次修改密码内被使用，该操作将不能成功5、补充说明编号：安全要求-设备-ORACLE-配置-7-可选要求内容对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南参考配置操作为用户建profile，指定FAILED_LOGIN_ATTEMPTS为６补充操作说明如果连续６次连接该用户不成功，用户将被锁定检测方法判定条件连续６次用错误的密码连接用户，第７次时用户将被锁定检测操作connectusername/password，连续６次失败，用户被锁定5、补充说明编号：安全要求-设备-ORACLE-配置-11要求内容更改数据库默认帐号的密码。操作指南1、参考配置操作1.可通过下面命令来更改默认用户的密码：ALTERUSERXXXIDENTIFIEDBYXXX;2.下面是默认用户列表：ANONYMOUSCTXSYSDBSNMPDIPDMSYSEXFSYSHRLBACSYSMDDATAMDSYSMGMT_VIEWODMODM_MTROEOLAPSYSORDPLUGINSORDSYSOUTLNPMQSQS_ADMQS_CBQS_CBADMQS_CSQS_ESQS_OSQS_WSRMANSCOTTSHSI_INFORMTN_SCHEMASYSSYSMANSYSTEMTSMSYSWK_TESTWKPROXYWKSYSWMSYSXDB2、补充操作说明检测方法3、判定条件不能以用户名作为密码或使用默认密码的账户登陆到数据库。4、检测操作1.以DBA用户登陆到sqlplus中。2.检查数据库默认账户是否使用了用户名作为密码或默认密码。5、补充说明编号：安全要求-设备-ORACLE-配置-12要求内容Oracle软件账户的访问控制可遵循操作系统账户的安全策略，比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。操作指南1、参考配置操作使用操作系统一级的账户安全管理来保护Oracle软件账户。2、补充操作说明检测方法3、判定条件每3个月自动提示更改密码，过期后不能登陆。4、检测操作每3个月强制修改Oracle软件账户密码，并且密码需要满足一定的复杂程度，符合操作系统的密码要求。5、补充说明日志编号：安全要求-设备-ORACLE-配置-16要求内容数据库应配置日志功能，对用户登录进行，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。操作指南参考配置操作创建ORACLE登录触发器，记录相关信息，但对IP地址的记录会有困难1.建表LOGON_TABLE2.建触发器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT('USERENV','SESSION_USER'),SYSDATE);END;2、补充操作说明检测方法判定条件登录测试，检查相关信息是否被记录4、检测操作补充说明触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。编号：安全要求-设备-ORACLE-配置-17-可选要求内容数据库应配置日志功能，记录用户对数据库的操作，包括但不限于以下内容：账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。操作指南参考配置操作创建ORACLE登录触发器，记录相关信息，但对IP地址的记录会有困难1.建表LOGON_TABLE2.建触发器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT('USERENV','SESSION_USER'),SYSDATE);END;2、补充操作说明检测方法判定条件做相关操作，检查是否记录成功4、检测操作补充说明触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。编号：安全要求-设备-ORACLE-配置-18-可选要求内容数据库应配置日志功能，记录对与数据库相关的安全事件。操作指南参考配置操作创建ORACLE登录触发器，记录相关信息，但对IP地址的记录会有困难1.建表LOGON_TABLE2.建触发器CREATETRIGGERTRI_LOGONAFTERLOGONONDATABASEBEGININSERTINTOLOGON_TABLEVALUES(SYS_CONTEXT('USERENV','SESSION_USER'),SYSDATE);END;2、补充操作说明检测方法判定条件做相关测试，检查是否记录成功4、检测操作补充说明触发器与AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。编号：安全要求-设备-ORACLE-配置-19-可选要求内容根据业务要求制定数据库审计策略。操作指南1、参考配置操作1.通过设置参数audit_trail=db或os来打开数据库审计。2.然后可使用Audit命令对相应的对象进行审计设置。2、补充操作说明检测方法3、判定条件对审计的对象进行一次数据库操作，检查操作是否被记录。4、检测操作1.检查初始化参数audit_trail是否设置。2.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。补充说明AUDIT会有相应资源开消，请检查系统资源是否充足。特别是RAC环境，资源消耗较大。其他编号：安全要求-设备-ORACLE-配置-14-可选要求内容使用Oracle提供的虚拟私有数据库（VPD）和标签安全（OLS）来保护不同用户之间的数据交叉访问。操作指南1、参考配置操作1.在表上构建VPD可以使用Oracle所提供的PL/SQL包DBMS_RLS控制整个VPD基础架构，具体设置方法较复杂，建议参考Oracle文档进行配置。标签安全(OLS)是在相关表上通过添加一个标签列来实现复杂的数据安全控制，具体细节请参考Oracle文档。2、补充操作说明检测方法3、判定条件通过视图来检查是否在数据库对象上设置了VPD和OLS。4、检测操作查询视图v$vpd_policy和dba_policies。5、补充说明编号：安全要求-设备-ORACLE-配置-15-可选要求内容使用Oracle提供的DataVault选件来限制有DBA权限的用户访问敏感数据。操作指南1、参考配置操作OracleDataVault是作为数据库安全解决的一个单独选件，主要功能是将数据库管理账户的权限和应用数据访问的权限分开，DataVault可限制有DBA权限的用户访问敏感数据。设置比较复杂，具体细节请参考Oracle文档。2、补充操作说明检测方法3、判定条件以DBA用户登陆，不能查询其它用户下面的数据。4、检测操作1.在视图dba_users中查询是否存在dvsys用户。2.在视图dba_objects中检查是否存在dbms_macadm对象。5、补充说明编号：安全要求-设备-ORACLE-配置-20要求内容为数据库监听器（LISTENER）的关闭和启动设置密码。操作指南1、参考配置操作通过下面命令设置密码：$lsnrctlLSNRCTL>change_passwordOldpassword:NotdisplayedNewpassword:NotdisplayedReenternewpassword:NotdisplayedConnectingto(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT=1521)(IP=FIRST)))PasswordchangedforLISTENERThecommandcompletedsuccessfullyLSNRCTL>save_config2、补充操作说明检测方法3、判定条件使用lsnrctlstart或lsnrctlstop命令起停listener需要密码4、检测操作检查$ORACLE_HOME/network/admin/文件中是否设置参数PASSWORDS_LISTENER。5、补充说明编号：安全要求-设备-ORACLE-配置-21要求内容设置只有信任的IP地址才能通过监听器访问数据库。操作指南1、参考配置操作只需在服务器上的文件$ORACLE_HOME/network/admin/中设置以下行：=yes=(ip1,ip2…)2、补充操作说明检测方法3、判定条件在非信任的客户端以数据库账户登陆被提示拒绝。4、检测操作检查$ORACLE_HOME/network/admin/文件中是否设置参数和。5、补充说明编号：安全要求-设备-ORACLE-配置-22-可选要求内容使用Oracle提供的高级安全选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据。操作指南1、参考配置操作1.在OracleNetManager中选择“OracleAdvancedSecurity”。2.然后选择Encryption。3.选择Client或Server选项。4.选择加密类型。5.输入加密种子（可选）。6.选择加密算法（可选）。7.保存网络配置，被更新。2、补充操作说明检测方法3、判定条件通过网络层捕获的数据库传输包为加密包。4、检测操作检查$ORACLE_HOME/network/admin/文件中是否设置等参数。5、补充说明编号：安全要求-设备-ORACLE-配置-23-可选要求内容在某些应用环境下可设置数据库连接超时，比如数据库将自动断开超过10分钟的空闲远程连接。操作指南1、参考配置操作在中设置下面参数：=102、补充操作说明检测方法3、判定条件10分钟以上的无任何操作的空闲数据库连接被自动断开4、检测操作检查$ORACLE_HOME/network/admin/文件中是否设置参数。5、补充说明编号：安全要求-设备-ORACLE-配置-24要求内容限制在DBA组中的操作系统用户数量，通常DBA组中只有Oracle安装用户。操作指南1、参考配置操作通过/etc/passwd文件来检查是否有其它用户在DBA组中。2、补充操作说明检测方法3、判定条件无其它用户属于DBA组。4、检测操作通过/etc/passwd文件来检查是否有其它用户在DBA组中。5、补充说明