中国移动Oracle数据库安全配置基线规范资料.doc

资源描述

╳╳╳╳-╳╳-╳╳实行 ╳╳╳╳-╳╳-╳╳公布版本号：2.０.０{黑体小四} Title{英文黑体四号} 中国移动Oracle数据库配置安全基线规范目录 1 概述 1 1.1 合用范围 1 1.2 内部合用性阐明 1 1.3 外部引用阐明 2 1.4 术语和定义 2 1.5 符号和缩略语 4 2 ORACLE数据库（功能、配置）安全基线 4 2.1 账号 4 2.2 口令 5 2.3 授权 5 2.4 日志 5 2.5 IP 5 2.6 其他 6 3 编制历史 6 序言本原则由中国移动通信有限企业网络部提出并归口。本原则由原则提出并归口部门负责解释。本原则起草单位：中国移动通信有限企业网络部本原则解释单位：同提出单位 1 概述 1.1 合用范围本规范合用于中国移动通信网、业务系统和支撑系统中使用Oracle数据库设备。本规范明确了设备基本安全规定，为在设备入网测试、工程验收和设备运行维护环节明确有关安全规定提供指南。本规范可作为编制设备入网测试规范，工程验罢手册，局数据模板等文档参照。 1.2 内部合用性阐明本规范是根据《中国移动设备通用安全基线规范》中配置类基线规定基础上提出Oracle数据库安全基线配置规范，为便于比较，特作如下逐一比较及阐明（在“采纳意见”部分对应为 “完全采纳”、“部分采纳”、“增强规定”、“新增”、“不采纳”。在“补充阐明”部分，对于增强规定状况，阐明在本规范对应条款中描述了增强规定。对于“不采纳”状况，阐明采纳原因）。基线编号采纳意见补充阐明 JX-TY-PZ-1-opt 完全采纳 JX-TY-PZ-2-opt 完全采纳 JX-TY-PZ-3-opt 增强规定 JX-OSJK-PZ-1 JX-TY-PZ-4 完全采纳 JX-TY-PZ-5 完全采纳 JX-TY-PZ-6-opt 完全采纳 JX-TY-PZ-7-opt 完全采纳 JX-TY-PZ-9 完全采纳账号新增 JX-OSJK-PZ-2 账号新增 JX-OSJK-PZ-3-opt 口令新增 JX-OSJK-PZ-4 授权新增 JX-OSJK-PZ-5 授权新增 JX-OSJK-PZ-6-opt 授权新增 JX-OSJK-PZ-7-opt JX-TY-PZ-12 完全采纳 JX-TY-PZ-13-opt 完全采纳 JX-TY-PZ-24-opt 完全采纳日志新增 JX-OSJK-PZ-8-opt IP 新增 JX-OSJK-PZ-9 IP 新增 JX-OSJK-PZ-10 IP 新增 JX-OSJK-PZ-11-opt IP 新增 JX-OSJK-PZ-12-opt 其他新增 JX-OSJK-PZ-13 其他新增 JX-OSJK-PZ-17 JX-TY-PZ-14-opt 不采纳系统不支持 JX-TY-PZ-16-opt 不采纳不合用 JX-TY-PZ-17-opt 不采纳不合用 JX-TY-PZ-19-opt 不采纳不合用 JX-TY-PZ-20-opt 不采纳不合用 1.3 外部引用阐明 1.4 术语和定义数据库角色是Oracle数据库中用来定义一组对象权限集合。数据库超级管理员(SYSDBA) 具有SYSDBA权限顾客可以启动和停止数据库。顾客Profile Oracle通过Profile功能来对数据库帐号某些属性进行限制，例如CPU使用率、每个顾客最大连接数、口令生存周期等。数据库监听器是一种在服务器端运行，用作监听客户端连接进程。它来授权和建立客户端与数据库服务器端连接。 Oracle安全补丁是由Oracle企业定期在其官方网站上公布用作修补Oracle产品安全漏洞补丁集。 Oracle高级安全性 Oracle高级安全性提供了3个组件来满足隐私保护和法规遵守需求：透明数据加密、网络加密和数据完整性以及强认证。 Oracle标签安全性(OLS) Oracle标签安全性（OLS）通过把顾客安全性许可证与附加在数据行上数据分类标签进行对比，来提供现成可用行级安全性。在Oracle身份管理系统中可有效地管理整个企业顾客安全性许可证。虚拟专用数据库 Oracle虚拟专用数据库（VPD）提供了可定制、基于政策直至行一级访问控制，以管理数据安全性和隐私保护。各项政策被有计划地附加到数据库各个对象（表，视图）上，因而不管采用何种访问措施，政策都会得到执行。这样就消除了应用安全性问题，并为数据整合奠定了基础，保护了各个数据集分离性。数据加密 Oracle数据加密特性为在介质上存储数据提供了一种额外保护层。目前，你可以保护至关重要数据，如信用卡号码，甚至是介质被盗了，你数据仍然是安全。 BDUMP/UDUMP/CDUMP目录是通过初始化参数background_dump_dest、core_dump_dest和user_dump_dest来定义Oracle数据库日志输出目录。 1.5 符号和缩略语缩写英文描述中文描述 DBA Database Administrator 数据库管理员 VPD Virtual Private Database 虚拟专用数据库 OLS Oracle Label Security Oracle标签安全 2 Oracle数据库（功能、配置）安全基线（本部分应分大类逐条阐明该类设备对应功能基线或配置基线。对每大类规范规定应根据下面格式。） 2.1 账号基线编号基线内容 JX-OSJK-PZ-1 限制具有数据库超级管理员(SYSDBA)权限顾客远程登录。 JX-OSJK-PZ-2 使用数据库角色（ROLE）来管理对象权限。 JX-OSJK-PZ-3-opt 使用Profile功能对顾客属性进行控制，包括密码方略、资源限制等。 2.2 口令基线编号基线内容 JX-OSJK-PZ-4 更改数据库默认帐号密码。 2.3 授权基线编号基线内容 JX-OSJK-PZ-5 启用数据字典保护，只有SYSDBA顾客才能访问数据字典。 JX-OSJK-PZ-6-opt 使用Oracle提供虚拟私有数据库（VPD）和标签安全（OLS）来保护不一样顾客之间数据交叉访问。 JX-OSJK-PZ-7-opt 使用Oracle提供Data Vault选件来限制有DBA权限顾客访问敏感数据。 2.4 日志基线编号基线内容 JX-OSJK-PZ-8-opt 根据业务规定制定数据库审计方略。 2.5 IP 基线编号基线内容 JX-OSJK-PZ-9 为数据库监听器（LISTENER）关闭和启动设置密码。 JX-OSJK-PZ-10 设置只有信任IP地址才能通过监听器访问数据库。 JX-OSJK-PZ-11-opt 使用Oracle提供高级安全选件来加密客户端与数据库之间或中间件与数据库之间网络传播数据。 JX-OSJK-PZ-12-opt 在某些应用环境下可设置数据库连接超时，例如数据库将自动断开超过10分钟空闲远程连接。 2.6 其他基线编号基线内容 JX-OSJK-PZ-13 限制在DBA组中操作系统顾客数量，一般DBA组中只有Oracle安装顾客。 JX-OSJK-PZ-17 Oracle软件账户访问控制可遵照操作系统账户安全方略，例如不要共享账户、强制定期修改密码、密码需要有一定复杂度等。 3 编制历史版本号修订日期修订人修订原因 V 1.0 -4-10 房仲阳、王欣、齐兵确定框架 V 1.0 -4-15 房仲阳、王欣、齐兵构造调整、内容完善 V 1.0 -4-25 房仲阳、王欣、齐兵安全办公室内部讨论，进行修改完善 V 2.0 -5-10 房仲阳、王欣、齐兵集团安全基线讨论会议，分组讨论，进行修改完善

展开阅读全文