oracle数据库安全加固操作手册.pdf

1.支持按用户分配账号。

结果：现网已实现

2.与设备运行、维护等工作无关的账号，应能够删除或锁定。

结果：现网已实现

3.应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账

号共享。

结果：现网已实现

4.应删除或锁定与设备运行、维护等工作无关的账号。

结果：现网已实现

5.限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。

结果：可以实现，但是需要需要重起数据库，影响业务，不建议实现，而且通过防火墙

限制访问数据库的端口方式已经实现。

要求内容限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。

操作指南1、参考配置操作

1.在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA

用户从远程登陆。

2.在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用

SYSDBA角色的自动登录。

2、补充操作说明

altersystemsetREMOTE_LOGIN_PASSWORDFILE=nonescope=spfile；

检测方法3、判定条件

1.不能通过Sql*Net远程以SYSDBA用户连接到数据库。

2.在数据库主机上以sqlplus‘/assysdba’连接到数据库需要输入口

令。

4、检测操作

1.以Oracle用户登陆到系统中。

2.以sqlplus/assysdba‘’登陆到sqlplus环境中。

3.使用showparameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE

是否设置为NONE。

4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数

SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。

5、补充说明

6.对于采用静态口令认证技术的设备，应支持数字、小写字母、大写字母和特殊符号4类

字符构成的口令。应支持配置口令复杂度。在配置了复杂度后，设备自动拒绝用户设置

不符合复杂度要求的口令

结果：部分账号已实现（system和CS车务通），其他账号实施时需要重新配置现网的应

用配置，影响业务，不建议实现。

7.对于采用静态口令认证技术的设备，应支持配置用户连续认证失败次数上限。当用户连

续认证失败次数超过上限时，设备自动锁定该用户账号。必须由其他账号，通常为具有

管理员权限的账号，才可以解除该账号锁定

结果：现网已实现（系统默认是10次）

8.对于采用静态口令认证技术的设备，应支持按天配置口令生存期功能。在配置了口令生

存期后，设备在口令超过生存期的用户登录时，应提示并强迫该用户设置新口令

结果：可以实现，但是应用账号不建议实现，将会影响应用系统；

编号：安全要求-设备-ORACLE-配置-10-可选

要求内容对用户的属性进行控制，包括密码策略、资源限制等。

操作指南1、参考配置操作

可通过下面类似命令来创建profile，并把它赋予一个用户

CREATEPROFILEapp_user2LIMIT

FAILED_LOGIN_ATTEMPTS6

PASSWORD_LIFE_TIME90

PASSWORD_REUSE_TIME60

PASSWORD_REUSE_MAX5