2022年Oracle数据库系统加固规范.pdf

《2022年Oracle数据库系统加固规范.pdf》由会员分享，可在线阅读，更多相关《2022年Oracle数据库系统加固规范.pdf（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Oracle 数据库系统加固规范Oracle数据库系统加固规范精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范目录1账号管理、认证授权 . 11、1账号 . 11、1、1 . SHG-Oracle-01-01-01 11、1、2 . SHG-Oracle-01-01-02 21、1、3 . SHG-Oracle-01-01-03 31、1、4 . SHG-Oracle-01-01-04 41、1、5 . SHG-

2、Oracle-01-01-05 51、1、6 . SHG-Oracle-01-01-06 71、1、7 . SHG-Oracle-01-01-07 81、1、8 . SHG-Oracle-01-01-08 91、2口令 . 101、2、1 . SHG-Oracle-01-02-01 101、2、2 . SHG-Oracle-01-02-02 121、2、3 . SHG-Oracle-01-02-03 131、2、4 . SHG-Oracle-01-02-04 141、2、5 . SHG-Oracle-01-02-05 152日志配置 . 172、1、1 . SHG-Oracle-02-01-0

3、1 172、1、2 . SHG-Oracle-02-01-02 202、1、3 . SHG-Oracle-02-01-03 212、1、4 . SHG-Oracle-02-01-04 233通信协议 . 243、1、1 . SHG-Oracle-03-01-01 243、1、2 . SHG-Oracle-03-01-02 254设备其她安全要求 . 264、1、1 . SHG-Oracle-04-01-01 264、1、2 . SHG-Oracle-04-01-02 28精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - -

4、- - -第 2 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范1账号管理、认证授权1. 1 账号1. 1. 1SHG - O r acl e- 01- 01- 01编号SHG-Oracle-01-01-01 名称为不同的管理员分配不同的账号实施目的应按照用户分配账号, 避免不同用户间共享账号, 提高安全性。问题影响账号混淆 , 权限不明确 , 存在用户越权使用的可能。系统当前状态select * from all_users; select * from dba_users; 记录用户列表实施步骤1、参考配置操作create user abc1 i

5、dentified by password1; create user abc2 identified by password2; 建立 role, 并给 role 授权, 把 role 赋给不同的用户2、 补充操作说明1、 abc1 与 abc2 就是两个不同的账号名称 , 可根据不同用户 ,取不同的名称 ; 回退方案删除用户 : 例如创建了一个用户 A, 要删除它可以这样做connect sys/密码 as sysdba; drop user A cascade;/就这样用户就被删除了精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - -

6、 - - - - - - -第 3 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范判断依据标记用户用途 , 定期建立用户列表 , 比较就是否有非法用户实施风险高重要等级备注1. 1. 2SHG -O r acl e- 01- 01- 02编号SHG-Oracle-01-01-02 名称删除或锁定无效账号实施目的删除或锁定无效的账号 , 减少系统安全隐患。问题影响允许非法利用系统默认账号系统当前状态select * from all_users; select * from dba_users; 记录用户列表实施步骤1、参考配置操作alter user

7、 username lock;/锁定用户drop user username cascade;/删除用户回退方案删除新增加的帐户判断依据首先锁定不需要的用户在经过一段时间后, 确认该用户对业务确无影响的情况下,可以删除实施风险高精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范重要等级备注1. 1. 3SHG -O r acl e- 01- 01- 03编号SHG-Oracle-01-01-03 名称限制超级管理员

8、远程登录实施目的限制具备数据库超级管理员(SYSDBA) 权限的用户远程登录。 。问题影响允许数据库超级管理员远程非法登陆系统当前状态查瞧 sp 内容实施步骤1、参考配置操作在 spfile中设置 REMOTE_LOGIN_PASSWORD来禁止 SYSDBA 用户 从 远 程 登 陆 。 在sqlnet、 ora中 设 置SQLNET 、AUTHENTICATION_SERVICES=NONE来禁用 SYSDBA 角色的自动登录。回退方案还原 sp 文件配置判断依据判定条件1、 不能通过 Sql*Net 远程以 SYSDBA 用户连接到数据库。2、 在数据库主机上以sqlplus /as s

9、ysdba连接到数据库需要输入口令。检测操作1、 以 Oracle 用户登陆到系统中。2、 以 sqlplus /as sysdba 登陆到 sqlplus环境中。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 5 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范3 、使 用show parameter命 令 来 检 查 参 数REMOTE_LOGIN_PASSWORDFILE就是否设置为 NONE 。Show parameter REMOTE_LOGIN_PAS

10、SWORDFILE 4、 检查在$ORACLE_HOME/network/admin/sqlnet、 ora文 件 中 参 数SQLNET、AUTHENTICATION_SERVICES就是否被设置成 NONE 。实施风险高重要等级备注1. 1. 4SHG -O r acl e- 01- 01- 04编号SHG-Oracle-01-01-04 名称权限最小化实施目的在数据库权限配置能力内, 根据用户的业务需要, 配置其所需的最小权限。问题影响账号权限越大 , 对系统的威胁性越高系统当前状态select * from user_sys_privs; select * from user_role

11、_privs; select * from user_tab_privs; 记录用户拥有权限实施步骤1、 参考配置操作grant 权限to username; revoke 权限from username; 2、 补充操作说明精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 6 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范用第一条命令给用户赋相应的最小权限用第二条命令收回用户多余的权限回退方案还原添加或删除的权限判断依据业务测试正常实施风险高重要等级备注1. 1

12、. 5SHG -O r acl e- 01- 01- 05编号SHG-Oracle-01-01-05 名称数据库角色实施目的使用数据库角色 (ROLE)来管理对象的权限。问题影响账号管理混乱系统当前状态select * from dba_role_privs; select * from user_role_privs; 记录用户拥有的 role实施步骤一. 创建角色 , 修改角色1、创建角色 , 不指定密码 : create role testrole; 2. 创建角色 , 指定密码 : create role testrole identified by passwd; 精品资料 - -

13、- 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 7 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范3. 修改角色 : alter role testrole identified by passwd; 4、 给角色授予权限。Grant select on Table_name to testrole; 把角色赋予用户:( 特别说明 , 授予角色不就是实时的。如下:) grant testrole to User_Name; 二、起用角色 : 给用户赋予角色 , 角色并不会立即起作

14、用。1. 角色不能立即起作用。必须下次断开此次连接, 下次连接才能起作用。2、 或 者 执 行 命 令 : 有 密 码 的 角 色 set role testrole identified by passwd 立即生效 ; 3. 无密码的角色 :set role testrole; 回退方案删除相应的 Role revoke role_name from user_name 判断依据对应用用户不要赋予DBA Role或不必要的权限实施风险高重要等级备注精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 8 页

15、，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范1. 1. 6SHG -O r acl e- 01- 01- 06编号SHG-Oracle-01-01-06 名称用户 profile 实施目的对用户的属性进行控制 , 包括密码策略、资源限制等。问题影响账号安全性低、系统当前状态SELECT pro dba_users WHERE username= user_name ;记录用户赋予的 profile 实施步骤可通过下面类似命令来创建profile,并把它赋予一个用户SQL show parameter resource_limit SQL alter

16、system set resource_limit=true;CREATE PRO LIMIT FAILED_LOGIN_ATTEMPTS 6 PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_LOCK_TIME 1/24 PASSWORD_GRACE_TIME 90; ALTER USER user_name PRO; 回退方案alter user dinya pro; 恢复默认判断依据1、可通过设置 profi

17、le来限制数据库账户口令的复杂程度,口令生存周期与账户的锁定方式等。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 9 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范2、可通过设置 profile来限制数据库账户的CPU 资源占用。4、检测操作1、 以 DBA 用户登陆到 sqlplus中。2、 查询视图 dba_profiles与 dba_usres 来检查 profile就是否创建。实施风险高重要等级备注1. 1. 7SHG -O r acl e- 01-

18、01- 07编号SHG-Oracle-01-01-07 名称数据字典保护实施目的启用数据字典保护 , 只有 SYSDBA 用户才能访问数据字典基础表。问题影响数据库安全性低、系统当前状态Show parameter O7_DICTIONARY_ACCESSIBILITY 记录当前状态实施步骤通过设置下面初始化参数来限制只有SYSDBA 权限的用户才能访问数据字典。alter system set O7_DICTIONARY_ACCESSIBILITY=FALSE scope=spfile;回退方案修改 O7_DICTIONARY_ACCESSIBILITY为原来属性精品资料 - - - 欢迎下

19、载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 10 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范判断依据以普通用户登陆到数据库 , 不能查瞧 X$开头的表 , 比如: select * from sys、 x$ksppi;检测操作1、 以 Oracle 用户登陆到系统中。2、 以 sqlplus /as sysdba 登陆到 sqlplus环境中。3、 使用 show parameter 命令来检查参数O7_DICTIONARY_ACCESSIBILITY就是否设置为 FALSE 。S

20、how parameter O7_DICTIONARY_ACCESSIBILITY 实施风险高重要等级备注1. 1. 8SHG -O r acl e- 01- 01- 08编号SHG-Oracle-01-01-08 名称检查 DBA 组用户实施目的限制在 DBA组中的操作系统用户数量, 通常 DBA组中只有Oracle 安装用户。问题影响影响组用户管理系统当前状态Cat /etc/passwd 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 11 页，共 30 页 - - - - - - - - - -

21、Oracle 数据库系统加固规范实施步骤参考配置操作通过/etc/passwd文件来检查就是否有其它用户在DBA 组中。删除用户 :#userdel username; 锁定用户 : 1) 修改/etc/shadow文件, 用户名后加 *LK* 2) 将/etc/passwd文件中的 shell域设置成 /bin/false 3) #passwd -l username 只 有 具备超 级用户 权限 的 使 用者 方 可使 用,#passwd -l username锁定用户 , 用#passwd d username 解锁后原有密码失效, 登录需输入新密码 , 修改/etc/shadow能保留

22、原有密码。回退方案还原/etc/passwd文件判断依据判定条件无其它用户属于 DBA 组。检测操作通过/etc/passwd文件来检查就是否有其它用户在DBA 组中。实施风险高重要等级备注1. 2口令1. 2. 1SHG -O r acl e- 01- 02- 01编号SHG-Oracle-01-02-01 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 12 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范名称缺省密码长度复杂度限制实施目的对于采用静态口令进行

23、认证的数据库, 口令长度至少 6 位, 并包括数字、小写字母、大写字母与特殊符号4 类中至少 2 类。问题影响增加密码被暴力破解的成功率系统当前状态SELECT pro dba_users WHERE username= user_name ;记录用户赋予的 profile 实施步骤1、参考配置操作为用户建 profile,调整 PASSWORD_VERIFY_FUNCTION,指定密码复杂度示例: SQLCREATE OR REPLACE FUNCTION my_password_verify (username VARCHAR2 ,password VARCHAR2 ,old_passwo

24、rd VARCHAR2 ) RETURN BOOLEAN IS 2 BEGIN 3 IF LENGTH(password) create pro limit 2 password_verify_function MY_PASSWORD_VERIFY;回退方案alter user user_name pro; 判断依据1、 判定条件修改密码为不符合要求的密码, 将失败精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 13 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规

25、范2、 检测操作alter user user_name identified by passwd;将失败实施风险低重要等级备注1. 2. 2SHG -O r acl e- 01- 02- 02编号SHG-Oracle-01-02-02 名称缺省密码生存周期限制实施目的对于采用静态口令认证技术的设备, 帐户口令的生存期不长于 90 天, 减少口令安全隐患。问题影响密码被非法利用 , 并且难以管理系统当前状态SELECT pro dba_users WHE RE username= user_name ;记录用户赋予的 profile 实施步骤1、 参考配置操作为用户建相关 profile,指定

26、 PASSWORD_GRACE_TIME为 90 天2、 补充操作说明在 90 天内, 需要修改密码回退方案alter user user_name pro; 判断依据3、 判定条件到期不修改密码 , 密码将会失效。连接数据库将不会成功4、 检测操作精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 14 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范connect username/password报错实施风险低重要等级备注1. 2. 3SHG -O r acl

27、e- 01- 02- 03编号SHG-Oracle-01-02-03 名称密码重复使用限制实施目的对于采用静态口令认证技术的设备, 应配置设备 , 使用户不能重复使用最近 5 次( 含 5 次) 内已使用的口令。问题影响密码破解的几率增加系统当前状态SELECT pro dba_users WHERE username= user_name ;记录用户赋予的 profile 实施步骤1、 参考配置操作为用户建 profile,指定 PASSWORD_REUSE_MAX为2、 补充操作说明当前使用的密码 , 必需在密码修改次后才能再次被使用回退方案alter user user_name pro

28、; 判断依据3、 判定条件重用修改次内的密码 , 将不能成功4、 检测操作alter user username identified by password1; 如 果精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 15 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范password1 在次修改密码内被使用 , 该操作将不能成功实施风险低重要等级备注1. 2. 4SHG -O r acl e- 01- 02- 04编号SHG-Oracle-01-02-04 名

29、称密码重试限制实施目的对于采用静态口令认证技术的设备, 应配置当用户连续认证失败次数超过 6 次( 不含 6 次), 锁定该用户使用的账号。问题影响允许暴力破解密码系统当前状态SELECT pro dba_users WHERE username= user_name ;记录用户赋予的 profile 实施步骤1、 参考配置操作为用户建 profile,指定 FAILED_LOGIN_ATTEMPTS为2、 补充操作说明如果连续次连接该用户不成功, 用户将被锁定回退方案alter user user_name pro; 判断依据3、 判定条件连续次用错误的密码连接用户, 第次时用户将被锁定4、

30、 检测操作connect username/password,连续次失败 , 用户被锁定精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 16 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范实施风险中重要等级备注1. 2. 5SHG -O r acl e- 01- 02- 05编号SHG-Oracle-01-02-05 名称修改默认密码实施目的更改数据库默认帐号的密码。问题影响可能被破解密码系统当前状态询问管理员账号密码 , 并记录实施步骤参考配置操作1、 可通过

31、下面命令来更改默认用户的密码: ALTER USER user_name IDENTIFIED BY passwd; 2、 下面就是默认用户密码列表: CTXSYS CTXSYS DBSNMP DBSNMP LBACSYS LBACSYS MDDATA MDDATA MDSYS MDSYS DMSYS DMSYS OLAPSYS MANAGER 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 17 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范ORDPLUGIN

32、S ORDPLUGINS ORDSYS ORDSYS OUTLN OUTLN SI_INFORMTN_SCHEMA SI_INFORMTN_SCHEMA SYS CHANGE_ON_INSTALL SYSMAN CHANGE_ON_INSTALL SYSTEM MANAGER 回退方案ALTER USER user_name IDENTIFIED BY passwd; 判断依据判定条件不能以用户名作为密码或使用默认密码的账户登陆到数据库。检测操作1、 以 DBA 用户登陆到 sqlplus中。2、 检查数据库默认账户就是否使用了用户名作为密码或默认密码。实施风险中重要等级备注精品资料 - -

33、- 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 18 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范2日志配置2. 1. 1SHG -O r acl e- 02- 01- 01编号SHG-Oracle-02-01-01 名称启用日志记录功能实施目的数据库应配置日志功能, 对用户登录进行记录, 记录内容包括用户登录使用的账号、登录就是否成功、登录时间以及远程登录时用户使用的IP 地址。问题影响无法对用户的登陆进行日志记录系统当前状态实施步骤create table login_lo

34、g - 登入登出信息表( session_id int not null, - sessionid login_on_time date, - 登入时间 login_off_time date, - 登出时间 user_in_db varchar2(30), - 登入的 db user machine varchar2(20), - 机精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 19 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范器名 ip_address

35、varchar2(20), - ip地址 run_program varchar2(20) - 以何程序登入); create or replace trigger login_on_info - 记录登入信息的触发器after logon on database Begin insert into login_log(session_id,login_on_time,login_of f_time,user_in_db,machine,ip_address,run_program) select AUDSID,sysdate,null,sys、login_user,machine,SYS_C

36、O NTEXT(USERENV,IP_ADDRESS),program from v$session where AUDSID = USERENV(SESSIONID); - 當前 SESSION END; create or replace trigger login_off_info - 记录登出信息的触发器精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 20 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范before logoff on database

37、Begin update login_log set login_off_time = sysdate where session_id = USERENV(SESSIONID); - 当前 SESSION exception when others then null; END; 回退方案ALTER TRIGGER 名称 DISABLE; drop trigger 名称; 判断依据判定条件登录测试 , 检查相关信息就是否被记录补充说明触发器与 AUDIT 会有相应资源开消 , 请检查系统资源就是否充足。特别就是 RAC 环境, 资源消耗较大。实施风险低重要等级备注精品资料 - - - 欢迎下

38、载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 21 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范2. 1. 2SHG -O r acl e- 02- 01- 02编号SHG-Oracle-02-01-02 名称记录用户对设备的操作实施目的数据库应配置日志功能 , 记录用户对数据库的操作问题影响无法对用户的操作进行日志记录系统当前状态实施步骤create table employees_log( who varchar2(30), action varchar2(20); when da

39、te); create or replace trigger biud_employ_copy before insert or update or delete on employees_copy declare l_action employees_log、action%type; begin if inserting then l_action:=insert; elsif updating then l_action:=delete; elsif deleting then l_action:=update; 精品资料 - - - 欢迎下载 - - - - - - - - - - -

40、欢迎下载 名师归纳 - - - - - - - - - -第 22 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范 else raise_application_error(-2001,you shoule never ever get this error、); end if; insert into employees_log(who,action,when) values(user,l_action,sysdate); end biud_employ_copy; 回退方案ALTER TRIGGER 名称 DISABLE; drop trigge

41、r 名称; 判断依据实施风险高重要等级备注2. 1. 3SHG -O r acl e- 02- 01- 03编号SHG-Oracle-02-01-03 名称记录系统安全事件实施目的通过设置让系统记录安全事件, 方便管理员分析问题影响无法记录系统的各种安全事件系统当前状态精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 23 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范实施步骤参考配置操作create table jax_event_table(eventname

42、 varchar2(30),time date); create trigger tr_startup after startup ondatabase begin insertinto jax_event_table values(ora_sysevent,sysdate); end; create trigger tr_shutdown beforeshutdownondatabase begin insertinto jax_event_table values(ora_sysevent,sysdate); end; 回退方案ALTER TRIGGER 名称 DISABLE; drop

43、trigger 名称; 判断依据记录系统安全事件实施风险高重要等级备注精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 24 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范2. 1. 4SHG -O r acl e- 02- 01- 04编号SHG-Oracle-02-01-04 名称数据库审计策略实施目的根据业务要求制定数据库审计策略问题影响日志被删除后无法恢复。系统当前状态show parameter audit_sys_operations; show pa

44、rameter audit_trail; 查瞧返回值 , 并记录、实施步骤1、参考配置操作SQL alter system set audit_sys_operations=TRUE scope=spfile; SQL alter system set audit_trail=db scope=spfile; SQL show parameter audit; SQL audit all on table_name; 回退方案noaudit all on table_name; 恢复 audit_sys_operations, audit_trail属性判断依据判定条件对审计的对象进行一次数据

45、库操作, 检查操作就是否被记录。检测操作1、 检查初始化参数audit_trail就是否设置。2、检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下就是否有数据。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 25 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范补充说明AUDIT会有相应资源开消 , 请检查系统资源就是否充足。 特别就是 RAC 环境, 资源消耗较大实施风险低重要等级备注3通信协议3. 1. 1SHG

46、 -O r acl e- 03- 01- 01编号SHG-Oracle-03-01-01 名称信任 IP 连接监听器实施目的设置只有信任的 IP 地址才能通过监听器访问数据库。问题影响数据库不安全 IP 访问系统当前状态查瞧$ORACLE_HOME/network/admin/sqlnet 、ora 实施步骤参考配置操作只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet 、ora 中设置以下行 : tcp 、validnode_checking = yes tcp 、invited_nodes = (ip1,ip2)回退方案还原$ORACLE_HOME/ne

47、twork/admin/sqlnet 、ora 文件判断依据判定条件精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 26 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范在非信任的客户端以数据库账户登陆被提示拒绝。检测操作检查$ORACLE_HOME/network/admin/sqlnet 、 ora 文件中就是否 设 置 参 数tcp 、 validnode_checking与tcp 、invited_nodes 。实施风险高重要等级备注3. 1. 2SHG

48、-O r acl e- 03- 01- 02编号SHG-Oracle-03-01-02 名称网络数据传输安全实施目的使用 Oracle 提供的高级安全选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据问题影响数据传输的不安全性增加系统当前状态记录检查$ORACLE_HOME/network/admin/sqlnet 、ora 文件实施步骤参考配置操作1、在 Oracle Net Manager中选择“Oracle Advanced Security ” 。2、 然后选择 Encryption 。3、 选择 Client或 Server 选项。精品资料 - - - 欢迎下载 - -

49、- - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 27 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范4、 选择加密类型。5、 输入加密种子 ( 可选) 。6、 选择加密算法 ( 可选) 。7、 保存网络配置 ,sqlnet、ora 被更新。回退方案还原$ORACLE_HOME/network/admin/sqlnet 、ora 文件判断依据判定条件通过网络层捕获的数据库传输包为加密包。检测操作检查$ORACLE_HOME/network/admin/sqlnet 、 ora 文件中就是否设置 sqln

50、et 、encryption等参数实施风险高重要等级备注4设备其她安全要求4. 1. 1SHG -O r acl e- 04- 01- 01编号SHG-Oracle-04-01-01 名称监听器密码实施目的为数据库监听器 (LISTENER) 的关闭与启动设置密码。问题影响增加数据库安全隐患精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 28 页，共 30 页 - - - - - - - - - - Oracle 数据库系统加固规范系统当前状态查瞧$ORACLE_HOME/network/admin/li