中国移动Oracle数据库安全配置规范标准.doc

《中国移动Oracle数据库安全配置规范标准.doc》由会员分享，可在线阅读，更多相关《中国移动Oracle数据库安全配置规范标准.doc（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、- 中国移动通信集团公司发布中国移动通信集团公司发布 2007-12-01 发布2008-01-02 实施 版版 本本 号号 ：V.1.0.0 网络与信息安全规范编号网络与信息安全规范编号:【网络与信息安全规范网络与信息安全规范】【】【第四层：技术规范第四层：技术规范Oracle 数据库数据库】【】【第第 4506 号号】 中中国国移移动动Oracle 数数据据库库 安安全全配配置置规规范范 S S p p e e c c i i f f i i c c a a t t i i o o n n f f o o r r O O r r a a c c l l e e D D a a t t a

2、a b b a a s s e e C C o o n n f f i i g g u u r r a a t t i i o o n n U U s s e e d d i i n n C C h h i i n n a a M M o o b b i i l l e e - 目 录 1概述概述.4 1.1适用范围 .4 1.2内部适用性说明 .4 1.3外部引用说明 .5 1.4术语和定义 .5 1.5符号和缩略语 .5 2ORACLE 安全配置要求安全配置要求.5 2.1账号 .6 2.2口令 .10 2.3日志 .14 2.4其他 .17 - 前前 言言 本标准由中国移动通信有限公司网

3、络部提出并归口。 本标准由标准提出并归口部门负责解释。 本标准起草单位：中国移动通信有限公司网络部 本标准解释单位：同提出单位 本标准主要起草人：中国移动通信集团辽宁公司 房仲阳 13609820068 中国移动集团公司 陈敏时 13911773802 - 1概述概述 1.1适用范围适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的 Oracle 数据库。本规范 明确了 Oracle 数据库安全配置方面的基本要求。 1.2内部适用性说明内部适用性说明 本规范是在中国移动设备通用设备安全功能和配置规范 （以下简称通用规 范 ）各项设备配置要求的基础上，提出的 Oracle 数据库安全配置

4、规范。以下分项列 出本规范对通用规范设备配置要求的修订情况。 编号编号采纳意见采纳意见补充说明补充说明 安全要求安全要求- -设备设备- -通用通用- -配置配置-1-1-可选可选完全采纳安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-1-1-可选可选 安全要求安全要求- -设备设备- -通用通用- -配置配置-2-2-可选可选完全采纳安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-2-2-可选可选 安全要求安全要求- -设备设备- -通用通用- -配置配置-3-3-可选可选不采纳ORACLEORACLE 不支持在远程登陆时通过切换不支持在远程登陆时

5、通过切换 用户提升权限用户提升权限 安全要求安全要求- -设备设备- -通用通用- -配置配置-4-4完全采纳安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-4-4 安全要求安全要求- -设备设备- -通用通用- -配置配置-5-5完全采纳安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-5-5 安全要求安全要求- -设备设备- -通用通用- -配置配置-6-6-可选可选完全采纳安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-6-6-可选可选 安全要求安全要求- -设备设备- -通用通用- -配置配置-7-7-可选可选完全采纳安全

6、要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-7-7-可选可选 安全要求安全要求- -设备设备- -通用通用- -配置配置-9-9完全采纳安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-8-8 安全要求安全要求- -设备设备- -通用通用- -配置配置-12-12完全采纳安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-16-16 安全要求安全要求- -设备设备- -通用通用- -配置配置-13-13-可选可选完全采纳安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-17-17-可选可选 安全要求安全要求- -设

7、备设备- -通用通用- -配置配置-24-24-可选可选完全采纳安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-18-18-可选可选 安全要求安全要求- -设备设备- -通用通用- -配置配置-14-14-可选可选不采纳系统不支持 安全要求安全要求- -设备设备- -通用通用- -配置配置-16-16-可选可选不采纳不适用 安全要求安全要求- -设备设备- -通用通用- -配置配置-17-17-可选可选不采纳不适用 安全要求安全要求- -设备设备- -通用通用- -配置配置-19-19-可选可选不采纳不适用 安全要求安全要求- -设备设备- -通用通用- -配置配置-20

8、-20-可选可选不采纳不适用 本规范新增的安全配置要求，如下： 安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-3-3 安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-9-9 安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-10-10-可选可选 安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-11-11 安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-12-12 - 安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-13-13 安全要求安全要求- -设备设备-ORA

9、CLE-ORACLE-配置配置-14-14-可选可选 安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-15-15-可选可选 安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-19-19-可选可选 安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-20-20 安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-21-21 安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-22-22-可选可选 安全要求安全要求- -设备设备-ORACLE-ORACLE-配置配置-23-23-可选可选 安全要求安全要

10、求- -设备设备-ORACLE-ORACLE-配置配置-24-24 1.3外部引用说明外部引用说明 中国移动通用安全功能和配置规范 1.4术语和定义术语和定义 1.5符号和缩略语符号和缩略语 缩写英文描述中文描述 DBADatabase Administrator数据库管理员 VPDVirtual Private Database虚拟专用数据库 OLSOracle Label SecurityOracle 标签安全 2ORACLE 安全配置要求安全配置要求 本规范所指的设备为 ORACLE 数据库。本规范提出的安全配置要求，在未特别 说明的情况下，均适用于 ORACLE 数据库。 本规范从 O

11、RACLE 数据库的认证授权功能、安全日志功能，和其他自身安全配 置功能提出安全要求。 - 2.1账号账号 ORACLE 应提供账号管理及认证授权功能，并应满足以下各项要求。 编号编号：安全要求-设备-ORACLE-配置-1-可选 要求内容要求内容 应按照用户分配账号，避免不同用户间共享账号。 操作指南操作指南 1、 参考配置操作参考配置操作 create user abc1 identified by password1; create user abc2 identified by password2; 建立 role，并给 role 授权，把 role 赋给不同的用户 2、 补充操作说明

12、补充操作说明 1、abc1 和 abc2 是两个不同的账号名称，可根据不同用户，取不同的名 称； 检测方法检测方法 3、 判定条件判定条件 不同名称的用户可以连接数据库 4、 检测操作检测操作 connect abc1/password1 连接数据库成功 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-2-可选 要求内容要求内容 应删除或锁定与数据库运行、维护等工作无关的账号。 操作指南操作指南 1、 参考配置操作参考配置操作 alter user username lock; drop user username cascade; 2、 补充操作说明补充操作说明 检测方

13、法检测方法 3、 判定条件判定条件 首先锁定不需要的用户 在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除 4、检测操作、检测操作 5、补充说明、补充说明 - 编号编号：安全要求-设备-ORACLE-配置-3 要求内容要求内容 限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。 操作指南操作指南 1、参考配置操作、参考配置操作 1. 在 spfile 中设置 REMOTE_LOGIN_PASSWORDFILE=NONE 来禁止 SYSDBA 用户从远程登陆。 2. 在 sqlnet.ora 中设置 SQLNET.AUTHENTICATION_SERVICES=NONE 来

14、禁用 SYSDBA 角 色的自动登录。 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 1. 不能通过 Sql*Net 远程以 SYSDBA 用户连接到数据库。 2. 在数据库主机上以 sqlplus /as sysdba连接到数据库需要输入 口令。 4、检测操作、检测操作 1. 以 Oracle 用户登陆到系统中。 2. 以 sqlplus /as sysdba登陆到 sqlplus 环境中。 3. 使用 show parameter 命令来检查参数 REMOTE_LOGIN_PASSWORDFILE 是否设置为 NONE。 Show parameter REMOT

15、E_LOGIN_PASSWORDFILE 4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora 文件中参数 SQLNET.AUTHENTICATION_SERVICES 是否被设置成 NONE。 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-8 要求内容要求内容 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权 限。 操作指南操作指南 1、 参考配置操作参考配置操作 grant 权限 to username; revoke 权限 from username; - 2、 补充操作说明补充操作说明 用第一条命令给用户赋相应的最

16、小权限 用第二条命令收回用户多余的权限 检测方法检测方法 3、 判定条件判定条件 业务测试正常 4、 检测操作检测操作 业务测试正常 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-9 要求内容要求内容 使用数据库角色（ROLE）来管理对象的权限。 操作指南操作指南 1、参考配置操作、参考配置操作 1. 使用 Create Role 命令创建角色。 2. 使用用 Grant 命令将相应的系统、对象或 Role 的权限赋予应用用户。 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 对应用用户不要赋予 DBA Role 或不必要的权限。 4、检测操作

17、、检测操作 1. 以 DBA 用户登陆到 sqlplus 中。 2. 通过查询 dba_role_privs、dba_sys_privs 和 dba_tab_privs 等视图来检 查是否使用 ROLE 来管理对象权限。 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-10-可选 要求内容要求内容 对用户的属性进行控制，包括密码策略、资源限制等。 操作指南操作指南 1、参考配置操作、参考配置操作 可通过下面类似命令来创建 profile，并把它赋予一个用户 CREATE PROFILE app_user2 LIMIT - FAILED_LOGIN_ATTEMPTS 6 P

18、ASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_MAX 5 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_LOCK_TIME 1/24 PASSWORD_GRACE_TIME 90; ALTER USER jd PROFILE app_user2; 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 1. 可通过设置 profile 来限制数据库账户口令的复杂程度，口令生存 周期和账户的锁定方式等。 2. 可通过设置 profile 来限制数据库账户

19、的 CPU 资源占用。 4、检测操作、检测操作 1. 以 DBA 用户登陆到 sqlplus 中。 2. 查询视图 dba_profiles 和 dba_usres 来检查 profile 是否创建。 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-13 要求内容要求内容 启用数据字典保护，只有 SYSDBA 用户才能访问数据字典基础表。 操作指南操作指南 1、参考配置操作、参考配置操作 通过设置下面初始化参数来限制只有 SYSDBA 权限的用户才能访问数 据字典。 O7_DICTIONARY_ACCESSIBILITY = FALSE 2、补充操作说明、补充操作说明 检

20、测方法检测方法 3、判定条件、判定条件 以普通 dba 用户登陆到数据库，不能查看 X$开头的表，比如： select * from sys. x$ksppi; 4、检测操作、检测操作 1. 以 Oracle 用户登陆到系统中。 - 2. 以 sqlplus /as sysdba登陆到 sqlplus 环境中。 3. 使用 show parameter 命令来检查参数 O7_DICTIONARY_ACCESSIBILITY 是否设置为 FALSE。 Show parameter O7_DICTIONARY_ACCESSIBILITY 5、补充说明、补充说明 2.2口令口令 编号编号：安全要求-

21、设备-ORACLE-配置-4 要求内容要求内容 对于采用静态口令进行认证的数据库，口令长度至少 6 位，并包括数字、 小写字母、大写字母和特殊符号 4 类中至少 2 类。 操作指南操作指南 1、 参考配置操作参考配置操作 为用户建 profile，调整 PASSWORD_VERIFY_FUNCTION，指定密码 复杂度 2、 补充操作说明补充操作说明 检测方法检测方法 3、 判定条件判定条件 修改密码为不符合要求的密码，将失败 4、 检测操作检测操作 alter user abcd1 identified by abcd1;将失败 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE

22、-配置-5 要求内容要求内容 对于采用静态口令认证技术的数据库，账户口令的生存期不长于 90 天。 操作指南操作指南 1、 参考配置操作参考配置操作 为用户建相关 profile，指定 PASSWORD_GRACE_TIME 为 90 天 2、 补充操作说明补充操作说明 在 90 天内，需要修改密码 检测方法检测方法 3、 判定条件判定条件 - 到期不修改密码，密码将会失效。连接数据库将不会成功 4、 检测操作检测操作 connect username/password 报错 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-6-可选 要求内容要求内容 对于采用静态口令认证

23、技术的数据库，应配置数据库，使用户不能重复 使用最近 5 次（含 5 次）内已使用的口令。 操作指南操作指南 1、 参考配置操作参考配置操作 为用户建 profile,指定 PASSWORD_REUSE_MAX 为 2、 补充操作说明补充操作说明 当前使用的密码，必需在密码修改次后才能再次被使用 检测方法检测方法 3、 判定条件判定条件 重用修改次内的密码，将不能成功 4、 检测操作检测操作 alter user username identified by password1;如果 password1 在次修改密 码内被使用，该操作将不能成功 5、补充说明、补充说明 编号编号：安全要求-设备

24、-ORACLE-配置-7-可选 要求内容要求内容 对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数 超过 6 次（不含 6 次） ，锁定该用户使用的账号。 操作指南操作指南 1、 参考配置操作参考配置操作 为用户建 profile，指定 FAILED_LOGIN_ATTEMPTS 为 2、 补充操作说明补充操作说明 如果连续次连接该用户不成功，用户将被锁定 检测方法检测方法 3、 判定条件判定条件 连续次用错误的密码连接用户，第次时用户将被锁定 4、 检测操作检测操作 - connect username/password，连续次失败，用户被锁定 5、补充说明、补充说明 编号编号

25、：安全要求-设备-ORACLE-配置-11 要求内容要求内容更改数据库默认帐号的密码。 操作指南操作指南1、参考配置操作、参考配置操作 1. 可通过下面命令来更改默认用户的密码： ALTER USER XXX IDENTIFIED BY XXX; 2. 下面是默认用户列表： ANONYMOUS CTXSYS DBSNMP DIP DMSYS EXFSYS HR LBACSYS MDDATA MDSYS MGMT_VIEW ODM ODM_MTR OE OLAPSYS ORDPLUGINS ORDSYS OUTLN PM QS - QS_ADM QS_CB QS_CBADM QS_CS QS_E

26、S QS_OS QS_WS RMAN SCOTT SH SI_INFORMTN_SCHEMA SYS SYSMAN SYSTEM TSMSYS WK_TEST WKPROXY WKSYS WMSYS XDB 2、补充操作说明、补充操作说明 检测方法检测方法3、判定条件、判定条件 不能以用户名作为密码或使用默认密码的账户登陆到数据库。 4、检测操作、检测操作 1. 以 DBA 用户登陆到 sqlplus 中。 2. 检查数据库默认账户是否使用了用户名作为密码或默认密码。 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-12 - 要求内容要求内容 Oracle 软件账户的访问

27、控制可遵循操作系统账户的安全策略，比如不要 共享账户、强制定期修改密码、密码需要有一定的复杂度等。 操作指南操作指南 1、参考配置操作、参考配置操作 使用操作系统一级的账户安全管理来保护 Oracle 软件账户。 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 每 3 个月自动提示更改密码，过期后不能登陆。 4、检测操作、检测操作 每 3 个月强制修改 Oracle 软件账户密码，并且密码需要满足一定的复杂 程度，符合操作系统的密码要求。 5、补充说明、补充说明 2.3日志日志 编号编号：安全要求-设备-ORACLE-配置-16 要求内容要求内容 数据库应配置日志功能

28、，对用户登录进行记录，记录内容包括 用户登录使用的账号、登录是否成功、登录时间以及远程登录 时用户使用的 IP 地址。 操作指南操作指南 1、 参考配置操作参考配置操作 创建 ORACLE 登录触发器，记录相关信息，但对 IP 地址的记录会有困 难 1.建表 LOGON_TABLE 2.建触发器 CREATE TRIGGER TRI_LOGON AFTER LOGON ON DATABASE BEGIN INSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT(USERENV, SESSION_USER), SYSDATE); - END; 2、补充操作说明、补充

29、操作说明 检测方法检测方法 2、 判定条件判定条件 登录测试，检查相关信息是否被记录 4、检测操作、检测操作 4、 补充说明补充说明 触发器与 AUDIT 会有相应资源开消，请检查系统资源是否充足。特别 是 RAC 环境，资源消耗较大。 编号编号：安全要求-设备-ORACLE-配置-17-可选 要求内容要求内容 数据库应配置日志功能，记录用户对数据库的操作，包括但不限于以下 内容：账号创建、删除和权限修改、口令修改、读取和修改数据库配置、 读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录 需要包含用户账号，操作时间，操作内容以及操作结果。 操作指南操作指南 1、 参考配置操作参考

30、配置操作 创建 ORACLE 登录触发器，记录相关信息，但对 IP 地址的记录会有困 难 1.建表 LOGON_TABLE 2.建触发器 CREATE TRIGGER TRI_LOGON AFTER LOGON ON DATABASE BEGIN INSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT(USERENV, SESSION_USER), SYSDATE); END; 2、补充操作说明、补充操作说明 检测方法检测方法 2、 判定条件判定条件 - 做相关操作，检查是否记录成功 4、检测操作、检测操作 5、 补充说明补充说明 触发器与 AUDIT 会有相应

31、资源开消，请检查系统资源是否充足。特别 是 RAC 环境，资源消耗较大。 编号编号：安全要求-设备-ORACLE-配置-18-可选 要求内容要求内容 数据库应配置日志功能，记录对与数据库相关的安全事件。 操作指南操作指南 1、 参考配置操作参考配置操作 创建 ORACLE 登录触发器，记录相关信息，但对 IP 地址的记录会有困 难 1.建表 LOGON_TABLE 2.建触发器 CREATE TRIGGER TRI_LOGON AFTER LOGON ON DATABASE BEGIN INSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT(USERENV, S

32、ESSION_USER), SYSDATE); END; 2、补充操作说明、补充操作说明 检测方法检测方法 2、 判定条件判定条件 做相关测试，检查是否记录成功 4、检测操作、检测操作 6、 补充说明补充说明 触发器与 AUDIT 会有相应资源开消，请检查系统资源是否充足。特别 是 RAC 环境，资源消耗较大。 - 编号编号：安全要求-设备-ORACLE-配置-19-可选 要求内容要求内容 根据业务要求制定数据库审计策略。 操作指南操作指南 1、参考配置操作、参考配置操作 1. 通过设置参数 audit_trail = db 或 os 来打开数据库审计。 2. 然后可使用 Audit 命令对相

33、应的对象进行审计设置。 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 对审计的对象进行一次数据库操作，检查操作是否被记录。 4、检测操作、检测操作 1. 检查初始化参数 audit_trail 是否设置。 2. 检查 dba_audit_trail 视图中或$ORACLE_BASE/admin/adump 目录下 是否有数据。 5、 补充说明补充说明 AUDIT 会有相应资源开消，请检查系统资源是否充足。特别是 RAC 环 境，资源消耗较大。 2.4其他其他 编号编号：安全要求-设备-ORACLE-配置-14-可选 要求内容要求内容 使用 Oracle 提供的虚拟私

34、有数据库（VPD）和标签安全（OLS）来保护 不同用户之间的数据交叉访问。 操作指南操作指南 1、参考配置操作、参考配置操作 1. 在表上构建 VPD 可以使用 Oracle 所提供的 PL/SQL 包 DBMS_RLS 控制整个 VPD 基础架构，具体设置方法较复杂，建议参考 Oracle 文档 进行配置。 2. Oracle 标签安全(OLS)是在相关表上通过添加一个标签列来实现复杂 的数据安全控制，具体细节请参考 Oracle 文档。 2、补充操作说明、补充操作说明 - 检测方法检测方法 3、判定条件、判定条件 通过视图来检查是否在数据库对象上设置了 VPD 和 OLS。 4、检测操作、

35、检测操作 查询视图 v$vpd_policy 和 dba_policies。 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-15-可选 要求内容要求内容 使用 Oracle 提供的 Data Vault 选件来限制有 DBA 权限的用户访问敏 感数据。 操作指南操作指南 1、参考配置操作、参考配置操作 Oracle Data Vault 是作为数据库安全解决方案的一个单独选件，主要功 能是将数据库管理账户的权限和应用数据访问的权限分开， Data Vault 可限制有 DBA 权限的用户访问敏感数据。设置比较复杂，具体细节请 参考 Oracle 文档。 2、补充操作说明

36、、补充操作说明 检测方法检测方法 3、判定条件、判定条件 以 DBA 用户登陆，不能查询其它用户下面的数据。 4、检测操作、检测操作 1. 在视图 dba_users 中查询是否存在 dvsys 用户。 2. 在视图 dba_objects 中检查是否存在 dbms_macadm 对象。 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-20 要求内容要求内容 为数据库监听器（LISTENER）的关闭和启动设置密码。 操作指南操作指南 1、参考配置操作、参考配置操作 通过下面命令设置密码： $ lsnrctl LSNRCTL change_password Old pass

37、word: Not displayed - New password: Not displayed Reenter new password: Not displayed Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=prolin1)(PORT= 1521)(IP=FIRST) Password changed for LISTENER The command completed successfully LSNRCTL save_config 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 使用 ls

38、nrctl start 或 lsnrctl stop 命令起停 listener 需要密码 4、检测操作、检测操作 检查$ORACLE_HOME/network/admin/listener.ora 文件中是否设置参数 PASSWORDS_LISTENER。 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-21 要求内容要求内容 设置只有信任的 IP 地址才能通过监听器访问数据库。 操作指南操作指南 1、参考配置操作、参考配置操作 只需在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora 中设 置以下行： tcp.validnode_

39、checking = yes tcp.invited_nodes = (ip1,ip2) 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 在非信任的客户端以数据库账户登陆被提示拒绝。 4、检测操作、检测操作 检查$ORACLE_HOME/network/admin/sqlnet.ora 文件中是否设置参数 tcp.validnode_checking 和 tcp.invited_nodes。 - 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-22-可选 要求内容要求内容 使用 Oracle 提供的高级安全选件来加密客户端与数据库之间或中间件与

40、数据库之间的网络传输数据。 操作指南操作指南 1、参考配置操作、参考配置操作 1. 在 Oracle Net Manager 中选择“Oracle Advanced Security” 。 2. 然后选择 Encryption。 3. 选择 Client 或 Server 选项。 4. 选择加密类型。 5. 输入加密种子（可选） 。 6. 选择加密算法（可选） 。 7. 保存网络配置，sqlnet.ora 被更新。 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 通过网络层捕获的数据库传输包为加密包。 4、检测操作、检测操作 检查$ORACLE_HOME/networ

41、k/admin/sqlnet.ora 文件中是否设置 sqlnet.encryption 等参数。 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-23-可选 要求内容要求内容 在某些应用环境下可设置数据库连接超时，比如数据库将自动断开超过 10 分钟的空闲远程连接。 操作指南操作指南 1、参考配置操作、参考配置操作 在 sqlnet.ora 中设置下面参数： SQLNET.EXPIRE_TIME=10 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 - 10 分钟以上的无任何操作的空闲数据库连接被自动断开 4、检测操作、检测操作 检查$ORAC

42、LE_HOME/network/admin/sqlnet.ora 文件中是否设置参数 SQLNET.EXPIRE_TIME。 5、补充说明、补充说明 编号编号：安全要求-设备-ORACLE-配置-24 要求内容要求内容 限制在 DBA 组中的操作系统用户数量，通常 DBA 组中只有 Oracle 安 装用户。 操作指南操作指南 1、参考配置操作、参考配置操作 通过/etc/passwd 文件来检查是否有其它用户在 DBA 组中。 2、补充操作说明、补充操作说明 检测方法检测方法 3、判定条件、判定条件 无其它用户属于 DBA 组。 4、检测操作、检测操作 通过/etc/passwd 文件来检查是否有其它用户在 DBA 组中。 5、补充说明、补充说明