欢迎来到天天文库
浏览记录
ID:6149014
大小:254.00 KB
页数:19页
时间:2018-01-04
《oracle数据库安全配置手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、Oracle数据库安全配置手册Version1.0版本控制版本号日期参与人员更新说明1.020131217王峰目录第一章目的与范围11.1目的11.2适用范围11.3数据库类型1第二章数据库安全规范12.1操作系统安全12.2帐户安全22.3密码安全22.4访问权限安全22.5日志记录32.6加密32.7管理员客户端安全32.8安全补丁32.9审计3第三章数据库安全配置手册43.1Oracle数据库安全配置方法43.1.1基本漏洞加固方法43.1.2特定漏洞加固方法12第一章目的与范围1.1目的为了加强宝付的
2、数据安全管理,全面提高宝付各业务系统的数据安全水平,保证业务系统的正常运营,提高业务服务质量,特制定本方法。本文档旨在于规范宝付对各业务系统的Oracle数据库进行安全加固处理。1.2适用范围本手册适用于对宝付公司的各业务系统的数据库系统加固进行指导。1.3数据库类型数据库类型为Oracle11g。第二章数据库安全规范2.1操作系统安全要使数据库安全,首先要使其所在的平台和网络安全。然后就要考虑操作系统的安全性。Oracl第16页共32页e使用大量用户不需要直接访问的文件。例如,数据文件和联机重做日志文件只能
3、通过Oracle的后台进程进行读写。因此,只有要创建和删除这些文件的数据库管理员才需要在操作系统级直接访问它们。导出转储文件和其他备份文件也必须受到保护。可以把数据复制到其他数据库上,或者是作为复制模式的一部分,或者是提供一个开发数据库。若要保护数据的安全,就要对数据所驻留的每一个数据库及这些数据库的备份进行保护。如果某人能从含有你的数据备份的数据库中带走备份磁带,那么你在数据库中所做的全部保密工作就失去意义。必须防止对全部数据备份的非法访问。2.2帐户安全为了避免数据库帐户大量耗费系统资源,影响其它用户的正
4、常访问,可以根据应用的实际需要,对数据库帐户所使用的资源(如CPU等)进行限制。这样可以控制恶意攻击者发起大量的连接及事务破坏数据库系统的正常运行,限制数据库帐户的系统资源可以用profile实施。此外,数据库创建后,会存在一些内建的帐户,这些帐户都有初始密码。出于安全的考虑,需要修改这些内建帐户的初始密码,防止恶意攻击者以众所周知的初始密码登录数据库。另外,对不使用的帐户应锁定,消除帐户安全隐患。2.3密码安全用户登录数据库的密码非常重要,一旦密码被窃听,数据库的安全就面临严重的威胁。从Oracle7.1开
5、始,client远程连接数据库,OracleNet会自动对通过网络传输的登录密码进行加密,保证密码不被明文传输而被窃听。在Oracle7.1之前,可在sqlnet.ora中设置ora_encrypt_login=true。此外,对密码进行严格的管理。可以使用profile来管理口令的终止、重新使用和复杂性。例如,可以限制一个口令的寿命、锁定口令过旧的帐户等。也可以强制一个口令至少有一定程度的复杂性并锁定一个多次注册失败的帐户。这样可以有效地防止黒客猜测帐户口令,减少口令安全隐患。2.4访问权限安全对帐户的访问
6、权限进行严格控制,给予帐户需要的最少权限,包括系统权限和对象权限。对象权限可以实施到数据库对象的字段级别。第16页共32页2.5日志记录Oracle的警告日志alertsid.log里记录有数据库的关键活动,如删除表空间等,出于安全的考虑,需有规律地检查警告日志。2.6加密为了保证敏感数据从client到server在传输过程中不被窃听,可以对数据进行加密,以密文进行传输。2.7管理员客户端安全为了防止恶意用户冒名顶替管理员从远端客户机连接数据库进行破坏,可以对远端数据库的IP地址进行限定。当然这种方法如果和
7、网络安全一起实施,会更加安全。2.8安全补丁Oracle虽然具有很高的安全性,但是不可避免还是有安全漏洞,一个比较安全的办法是时刻关注Oracle的安全公告,并及时安装安全补丁。安全公告和补丁位置如下:http://otn.oracle.com/deploy/security/alerts.htm2.9审计第16页共32页出于数据库的安全,需要实施审计以跟踪重要的或可疑的数据库活动。审计通常被认为是最有效的安全机制,它确保系统的合法用户做他们应该做的事情,并且能够阻止用户滥用或误用访问权限。通过审计,一个公司
8、可以跟踪其各个用户的活动,从而发现安全上的缺陷。另外,如果用户知道他们正在被跟踪审计,那么就可能降低他们滥用职权的可能性。因为传统型的审计产生数量极大的数据,所以这就很难从中发现有用的信息,因此,Oracle9i引进了精确细化的审计。使用这种广泛精确细化的审计,可以更容易地发现安全缺陷。例如,如果为重复选择社会身份认证号码制定了一条审计策略,则当重复选择该社会身份认证号码时,就会自动发生警报,以警告
此文档下载收益归作者所有