中国移动Oracle数据库安全配置基线规范资料.doc

1、-实行-公布版本号：2.黑体小四 Title英文黑体四号中国移动Oracle数据库配置安全基线规范目录1概述11.1合用范围11.2内部合用性阐明11.3外部引用阐明21.4术语和定义21.5符号和缩略语42ORACLE数据库（功能、配置）安全基线42.1账号42.2口令52.3授权52.4日志52.5IP52.6其他63编制历史6序言本原则由中国移动通信有限企业网络部提出并归口。本原则由原则提出并归口部门负责解释。本原则起草单位：中国移动通信有限企业网络部本原则解释单位：同提出单位1 概述1.1 合用范围本规范合用于中国移动通信网、业务系统和支撑系统中使用Oracle数据库设备。本规范明确了

2、设备基本安全规定，为在设备入网测试、工程验收和设备运行维护环节明确有关安全规定提供指南。本规范可作为编制设备入网测试规范，工程验罢手册，局数据模板等文档参照。1.2 内部合用性阐明本规范是根据中国移动设备通用安全基线规范中配置类基线规定基础上提出Oracle数据库安全基线配置规范，为便于比较，特作如下逐一比较及阐明（在“采纳意见”部分对应为 “完全采纳”、“部分采纳”、“增强规定”、“新增”、“不采纳”。在“补充阐明”部分，对于增强规定状况，阐明在本规范对应条款中描述了增强规定。对于“不采纳”状况，阐明采纳原因）。基线编号采纳意见补充阐明JX-TY-PZ-1-opt完全采纳JX-TY-PZ-2

3、-opt完全采纳JX-TY-PZ-3-opt增强规定JX-OSJK-PZ-1JX-TY-PZ-4完全采纳JX-TY-PZ-5完全采纳JX-TY-PZ-6-opt完全采纳JX-TY-PZ-7-opt完全采纳JX-TY-PZ-9完全采纳账号新增JX-OSJK-PZ-2账号新增JX-OSJK-PZ-3-opt口令新增JX-OSJK-PZ-4授权新增JX-OSJK-PZ-5授权新增JX-OSJK-PZ-6-opt授权新增JX-OSJK-PZ-7-optJX-TY-PZ-12完全采纳JX-TY-PZ-13-opt完全采纳JX-TY-PZ-24-opt完全采纳日志新增JX-OSJK-PZ-8-optIP新

4、增JX-OSJK-PZ-9IP新增JX-OSJK-PZ-10IP新增JX-OSJK-PZ-11-optIP新增JX-OSJK-PZ-12-opt其他新增JX-OSJK-PZ-13其他新增JX-OSJK-PZ-17JX-TY-PZ-14-opt不采纳系统不支持JX-TY-PZ-16-opt不采纳不合用JX-TY-PZ-17-opt不采纳不合用JX-TY-PZ-19-opt不采纳不合用JX-TY-PZ-20-opt不采纳不合用1.3 外部引用阐明1.4 术语和定义数据库角色是Oracle数据库中用来定义一组对象权限集合。数据库超级管理员(SYSDBA)具有SYSDBA权限顾客可以启动和停止数据库。

5、顾客ProfileOracle通过Profile功能来对数据库帐号某些属性进行限制，例如CPU使用率、每个顾客最大连接数、口令生存周期等。数据库监听器是一种在服务器端运行，用作监听客户端连接进程。它来授权和建立客户端与数据库服务器端连接。Oracle安全补丁是由Oracle企业定期在其官方网站上公布用作修补Oracle产品安全漏洞补丁集。Oracle高级安全性Oracle高级安全性提供了3个组件来满足隐私保护和法规遵守需求：透明数据加密、网络加密和数据完整性以及强认证。Oracle标签安全性(OLS)Oracle标签安全性（OLS）通过把顾客安全性许可证与附加在数据行上数据分类标签进行对比，来

6、提供现成可用行级安全性。在Oracle身份管理系统中可有效地管理整个企业顾客安全性许可证。虚拟专用数据库Oracle虚拟专用数据库（VPD）提供了可定制、基于政策直至行一级访问控制，以管理数据安全性和隐私保护。各项政策被有计划地附加到数据库各个对象（表，视图）上，因而不管采用何种访问措施，政策都会得到执行。这样就消除了应用安全性问题，并为数据整合奠定了基础，保护了各个数据集分离性。数据加密Oracle数据加密特性为在介质上存储数据提供了一种额外保护层。目前，你可以保护至关重要数据，如信用卡号码，甚至是介质被盗了，你数据仍然是安全。BDUMP/UDUMP/CDUMP目录是通过初始化参数backg

7、round_dump_dest、core_dump_dest和user_dump_dest来定义Oracle数据库日志输出目录。1.5 符号和缩略语缩写英文描述中文描述DBADatabase Administrator数据库管理员VPDVirtual Private Database虚拟专用数据库OLSOracle Label SecurityOracle标签安全2 Oracle数据库（功能、配置）安全基线（本部分应分大类逐条阐明该类设备对应功能基线或配置基线。对每大类规范规定应根据下面格式。）2.1 账号基线编号基线内容JX-OSJK-PZ-1限制具有数据库超级管理员(SYSDBA)权限顾客

8、远程登录。JX-OSJK-PZ-2使用数据库角色（ROLE）来管理对象权限。JX-OSJK-PZ-3-opt使用Profile功能对顾客属性进行控制，包括密码方略、资源限制等。2.2 口令基线编号基线内容JX-OSJK-PZ-4更改数据库默认帐号密码。2.3 授权基线编号基线内容JX-OSJK-PZ-5启用数据字典保护，只有SYSDBA顾客才能访问数据字典。JX-OSJK-PZ-6-opt使用Oracle提供虚拟私有数据库（VPD）和标签安全（OLS）来保护不一样顾客之间数据交叉访问。JX-OSJK-PZ-7-opt使用Oracle提供Data Vault选件来限制有DBA权限顾客访问敏感数据

9、。2.4 日志基线编号基线内容JX-OSJK-PZ-8-opt根据业务规定制定数据库审计方略。2.5 IP基线编号基线内容JX-OSJK-PZ-9为数据库监听器（LISTENER）关闭和启动设置密码。JX-OSJK-PZ-10设置只有信任IP地址才能通过监听器访问数据库。JX-OSJK-PZ-11-opt使用Oracle提供高级安全选件来加密客户端与数据库之间或中间件与数据库之间网络传播数据。JX-OSJK-PZ-12-opt在某些应用环境下可设置数据库连接超时，例如数据库将自动断开超过10分钟空闲远程连接。2.6 其他基线编号基线内容JX-OSJK-PZ-13限制在DBA组中操作系统顾客数量，一般DBA组中只有Oracle安装顾客。JX-OSJK-PZ-17Oracle软件账户访问控制可遵照操作系统账户安全方略，例如不要共享账户、强制定期修改密码、密码需要有一定复杂度等。3 编制历史版本号修订日期修订人修订原因V 1.0-4-10房仲阳、王欣、齐兵确定框架V 1.0-4-15房仲阳、王欣、齐兵构造调整、内容完善V 1.0-4-25房仲阳、王欣、齐兵安全办公室内部讨论，进行修改完善V 2.0-5-10房仲阳、王欣、齐兵集团安全基线讨论会议，分组讨论，进行修改完善