O r a c l e 数 据 库
安 全 配 置 规 范
S p e c i f i c a t i o n f o r O r a c l e D a t a b a s e
C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e
网络与信息安全规范编号:【网络与信息安全规范】·【第二层:技术规范·网元类】·【第
版 本 号 : V . 1 . 0 . 0
2501 号】
2 0 0 7 - 1 2 - 0 1 发 布
2 0 0 8 - 0 1 - 0 2 实 施
中国移动通信集团公司发布
中国移动 ORACLE 数据库安全配置规范
目
录
1 概述......................................................................................................................................................................... 4
1.1 适用范围.........................................................................................................................................................4
1.2 内部适用性说明.............................................................................................................................................4
1.3 外部引用说明.................................................................................................................................................5
1.4 术语和定义 .....................................................................................................................................................5
1.5 符号和缩略语.................................................................................................................................................5
2
ORACLE 安全配置要求....................................................................................................................................... 5
2.1 账号 .................................................................................................................................................................6
2.2 口令 ...............................................................................................................................................................10
2.3 日志 ...............................................................................................................................................................14
2.4 其他 ...............................................................................................................................................................17
中国移动通信集团公司
第 2 页 共 21 页
中国移动 ORACLE 数据库安全配置规范
前 言
本标准由中国移动通信有限公司网络部提出并归口。
本标准由标准提出并归口部门负责解释。
本标准起草单位:中国移动通信有限公司网络部
本标准解释单位:同提出单位
本标准主要起草人:中国移动通信集团辽宁公司 房仲阳 13609820068
中国移动集团公司 陈敏时 13911773802
中国移动通信集团公司
第 3 页 共 21 页
1 概述
1.1 适用范围
本规范适用于中国移动通信网、业务系统和支撑系统的 Oracle 数据库。本规范明
确了 Oracle 数据库安全配置方面的基本要求。
1.2 内部适用性说明
本规范是在《中国移动设备通用设备安全功能和配置规范》(以下简称《通用规范》)
各项设备配置要求的基础上,提出的 Oracle 数据库安全配置规范。以下分项列出本规
范对《通用规范》设备配置要求的修订情况。
编号
采纳意见
补充说明
安全要求-设备-通用-配置-1-可选 完全采纳
安全要求-设备-通用-配置-2-可选 完全采纳
安全要求-设备-通用-配置-3-可选 不采纳
安全要求-设备-通用-配置-4
完全采纳
完全采纳
安全要求-设备-通用-配置-5
安全要求-设备-通用-配置-6-可选 完全采纳
安全要求-设备-通用-配置-7-可选 完全采纳
完全采纳
安全要求-设备-通用-配置-9
完全采纳
安全要求-设备-通用-配置-12
安全要求-设备-通用-配置-13-可选 完全采纳
安全要求-设备-通用-配置-24-可选 完全采纳
安全要求-设备-通用-配置-14-可选 不采纳
安全要求-设备-通用-配置-16-可选 不采纳
安全要求-设备-通用-配置-17-可选 不采纳
安全要求-设备-通用-配置-19-可选 不采纳
安全要求-设备-通用-配置-20-可选 不采纳
安全要求-设备-ORACLE-配置-1-可选
安全要求-设备-ORACLE-配置-2-可选
ORACLE 不支持在远程登陆时通过切换
用户提升权限
安全要求-设备-ORACLE-配置-4
安全要求-设备-ORACLE-配置-5
安全要求-设备-ORACLE-配置-6-可选
安全要求-设备-ORACLE-配置-7-可选
安全要求-设备-ORACLE-配置-8
安全要求-设备-ORACLE-配置-16
安全要求-设备-ORACLE-配置-17-可选
安全要求-设备-ORACLE-配置-18-可选
系统不支持
不适用
不适用
不适用
不适用
本规范新增的安全配置要求,如下:
安全要求-设备-ORACLE-配置-3
安全要求-设备-ORACLE-配置-9
安全要求-设备-ORACLE-配置-10-可选
安全要求-设备-ORACLE-配置-11
安全要求-设备-ORACLE-配置-12
中国移动 ORACLE 数据库安全配置规范
安全要求-设备-ORACLE-配置-13
安全要求-设备-ORACLE-配置-14-可选
安全要求-设备-ORACLE-配置-15-可选
安全要求-设备-ORACLE-配置-19-可选
安全要求-设备-ORACLE-配置-20
安全要求-设备-ORACLE-配置-21
安全要求-设备-ORACLE-配置-22-可选
安全要求-设备-ORACLE-配置-23-可选
安全要求-设备-ORACLE-配置-24
1.3 外部引用说明
《中国移动通用安全功能和配置规范》
1.4 术语和定义
1.5 符号和缩略语
缩写
英文描述
中文描述
DBA
VPD
OLS
Database Administrator
Virtual Private Database
Oracle Label Security
数据库管理员
虚拟专用数据库
Oracle 标签安全
2 ORACLE 安全配置要求
本规范所指的设备为 ORACLE 数据库。本规范提出的安全配置要求,在未特别
说明的情况下,均适用于 ORACLE 数据库。
本规范从 ORACLE 数据库的认证授权功能、安全日志功能,和其他自身安全配
置功能提出安全要求。
中国移动通信集团公司
第 5 页 共 21 页
2.1 账号
中国移动 ORACLE 数据库安全配置规范
ORACLE 应提供账号管理及认证授权功能,并应满足以下各项要求。
编号:安全要求-设备-ORACLE-配置-1-可选
要求内容
操作指南
应按照用户分配账号,避免不同用户间共享账号。
1、 参考配置操作
create user abc1 identified by password1;
create user abc2 identified by password2;
建立 role,并给 role 授权,把 role 赋给不同的用户
2、 补充操作说明
1、abc1 和 abc2 是两个不同的账号名称,可根据不同用户,取不同的名
称;
检测方法
3、 判定条件
不同名称的用户可以连接数据库
4、 检测操作
connect abc1/password1 连接数据库成功
5、补充说明
编号:安全要求-设备-ORACLE-配置-2-可选
要求内容
操作指南
应删除或锁定与数据库运行、维护等工作无关的账号。
1、 参考配置操作
alter user username lock;
drop user username cascade;
2、 补充操作说明
检测方法
3、 判定条件
首先锁定不需要的用户
在经过一段时间后,确认该用户对业务确无影响的情况下,可以删除
4、检测操作
5、补充说明
中国移动通信集团公司
第 6 页 共 21 页
中国移动 ORACLE 数据库安全配置规范
编号:安全要求-设备-ORACLE-配置-3
要求内容
操作指南
限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
1、参考配置操作
1. 在 spfile 中 设置 REMOTE_LOGIN_PASSWORDFILE=NONE 来 禁止
SYSDBA 用户从远程登陆。
2. 在 sqlnet.ora 中设置 SQLNET.AUTHENTICATION_SERVICES=NONE
来禁用 SYSDBA 角色的自动登录。
2、补充操作说明
检测方法
3、判定条件
1. 不能通过 Sql*Net 远程以 SYSDBA 用户连接到数据库。
2. 在数据库主机上以 sqlplus ‘/as sysdba’连接到数据库需要输入口
令。
4、检测操作
1. 以 Oracle 用户登陆到系统中。
2. 以 sqlplus ‘/as sysdba’登陆到 sqlplus 环境中。
3. 使 用 show
parameter 命 令 来 检 查 参 数
REMOTE_LOGIN_PASSWORDFILE 是否设置为 NONE。
Show parameter REMOTE_LOGIN_PASSWORDFILE
4. 检 查 在 $ORACLE_HOME/network/admin/sqlnet.ora 文 件 中 参 数
SQLNET.AUTHENTICATION_SERVICES 是否被设置成 NONE。
5、补充说明
编号:安全要求-设备-ORACLE-配置-8
要求内容
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权
限。
操作指南
1、 参考配置操作
grant 权限 to username;
revoke 权限 from username;
2、 补充操作说明
中国移动通信集团公司
第 7 页 共 21 页
中国移动 ORACLE 数据库安全配置规范
用第一条命令给用户赋相应的最小权限
用第二条命令收回用户多余的权限
检测方法
3、 判定条件
业务测试正常
4、 检测操作
业务测试正常
5、补充说明
编号:安全要求-设备-ORACLE-配置-9
要求内容
操作指南
检测方法
使用数据库角色(ROLE)来管理对象的权限。
1、参考配置操作
1. 使用 Create Role 命令创建角色。
2. 使用用 Grant 命令将相应的系统、对象或 Role 的权限赋予应用用户。
2、补充操作说明
3、判定条件
对应用用户不要赋予 DBA Role 或不必要的权限。
4、检测操作
1. 以 DBA 用户登陆到 sqlplus 中。
2. 通过查询 dba_role_privs、dba_sys_privs 和 dba_tab_privs 等视图来检查
是否使用 ROLE 来管理对象权限。
5、补充说明
编号:安全要求-设备-ORACLE-配置-10-可选
要求内容
操作指南
对用户的属性进行控制,包括密码策略、资源限制等。
1、参考配置操作
可通过下面类似命令来创建 profile,并把它赋予一个用户
CREATE PROFILE app_user2 LIMIT
FAILED_LOGIN_ATTEMPTS 6
PASSWORD_LIFE_TIME 60
中国移动通信集团公司
第 8 页 共 21 页