Oracle数据库安全配置规范
oracle数据库灾备实施标准
Oracle数据库灾备实施标准在信息化的今天,数据的重要性不言而喻。
为了保证数据的安全和完整性,灾备实施成为了企业不可忽视的一项任务。
以下是Oracle 数据库灾备实施标准的五个方面:1. 目标准备在实施灾备计划前,首先需要明确灾备的目标。
这些目标可能包括恢复丢失的数据、减少停机时间、降低业务风险等。
在确定目标后,需要对数据的重要程度进行评估,以便于合理分配资源和注意力。
同时,需要制定应急预案,包括应对各种可能发生的问题,如硬件故障、软件故障、网络中断等。
2. 实时数据复制技术的配置实时数据复制技术是Oracle数据库灾备的关键之一。
通过此技术,可以备份Oracle数据库,并在发生故障时快速恢复数据。
配置实时数据复制技术需要选择合适的复制软件,并按照软件的指导完成配置步骤。
在配置过程中,需要注意参数的设置,以确保复制的准确性和性能。
同时,需要制定备份策略,定期备份数据,以防止数据丢失。
3. 灾备服务器的安装为了确保灾备系统的正常运行,需要安装灾备服务器。
在硬件方面,需要选择性能稳定、可靠性高的服务器。
在软件方面,需要安装与生产服务器相同的操作系统和Oracle数据库软件。
同时,需要进行网络设置,确保灾备服务器能够与生产服务器进行通信。
此外,还需要进行系统备份管理,包括定期备份系统和数据,以及在需要时进行快速恢复。
4. Oracle实例的设置在灾备服务器上,需要创建备份实例,该实例将作为灾备数据库。
在创建备份实例前,需要确定备份策略,包括备份频率、备份内容等。
在创建备份实例后,需要设置备份策略,以确保备份数据的完整性和准确性。
此外,还需要进行自动备份管理,以便于在指定时间自动备份数据,并监控备份过程和结果。
5. 监控与测试为了确保灾备系统的正常运行,需要进行监控和测试。
在日常监测方面,需要定期检查灾备系统的状态和性能,以及监测数据复制过程和备份数据的完整性。
在故障排除方面,当监测到异常或故障时,需要及时采取措施解决问题,并分析故障原因,以防止问题再次发生。
ORACLE安全配置基线
profile and dba users . account status二'OPEN' and
resource 且拥e二'PASSWORD GRACE TIME'
基线符合性 判定依据 加固方案
查询结果中 PASSWORD GRACE TlME 小子等于 70 设置 PASSWORD_GRACE_TIME 小子等于 7
3)
将返回结果不必需的账号列表对比,如发现无关账号.表明不符
合安全要求 E 根据列表只保留必需!账号.结合实际情况锁定(或删除)无关账
号Q
锁定账号
删除账号
al ter
user <username> account lock;
dtop ilser 勺lsern础l e) cascad已 1
风险等级
高
1. 1 .2 眼制超级管理员远程登录
第 l 页共 6 页
ORACLE 安全配置基线
基线符合性 判定依据
07 DICTIONARY ACCESSIBILITYE Show parameter 07_DICTIONARY_ACCESSIBILITY 参数 07 DICTIONARY ACCESSIBILITY 是否设置为 FAL乒E
Ð7_DICTIONARY_ACCESSIBILITY 二 FAlβE 则表明符合安全要求。
风险等级
备注
高
密码过期后 7 天内不修改密码,密码将失效
1. 1. 7 口令复杂度策略
对于采用静态口令进行认证的数据库,口令长度至少 B 位,并包括数
安全基线项说明
字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次以内不 得设置相同的口令。密码应至少每 90 天进行更换 。 以 Oracle 用户登陆到系统中;
netca参数
netca参数Netca参数是Oracle数据库安装过程中的一个重要组成部分,它用于配置和管理Oracle网络环境。
在安装Oracle数据库时,我们需要使用Netca参数来设置数据库的网络连接和通信方式,以确保数据库能够正常运行和与其他系统进行通信。
Netca参数包括了一系列的选项和配置项,下面我将介绍一些常用的Netca参数及其作用。
1. Listener配置:Listener是Oracle数据库与客户端之间的通信桥梁,通过Listener,客户端可以与数据库进行连接和通信。
在Netca参数中,我们可以设置Listener的监听地址、端口号、协议等信息,以及监听的服务名称和数据库实例名称。
通过合理配置Listener,可以确保数据库能够被客户端正常访问和使用。
2. 网络协议配置:Oracle数据库支持多种网络协议,如TCP/IP、IPC等。
在Netca参数中,我们可以选择合适的网络协议,并进行相应的配置。
不同的网络协议适用于不同的网络环境,通过正确配置网络协议,可以提高数据库的性能和稳定性。
3. 网络连接配置:在Netca参数中,我们可以设置数据库的网络连接方式,如使用静态IP地址还是动态IP地址,以及是否启用连接池等。
通过合理配置网络连接,可以提高数据库的连接效率和并发性能。
4. 安全配置:在Netca参数中,我们可以设置数据库的安全选项,如启用加密连接、启用身份验证等。
通过合理配置安全选项,可以保护数据库的数据安全和隐私。
5. 高可用性配置:在Netca参数中,我们可以设置数据库的高可用性选项,如启用数据保护、启用故障转移等。
通过合理配置高可用性选项,可以提高数据库的可用性和容错性。
在使用Netca参数进行配置时,我们需要根据实际需求和网络环境进行选择和设置。
同时,我们还需要注意一些常见的问题和注意事项,如避免端口冲突、避免网络防火墙的限制等。
总之,Netca参数是Oracle数据库安装和配置过程中的重要组成部分,它能够帮助我们正确配置和管理数据库的网络环境,以确保数据库能够正常运行和与其他系统进行通信。
oracle rac 防火墙规则
oracle rac 防火墙规则Oracle RAC(Real Application Clusters)是一种数据库集群技术,它使得多个计算机可以并行运行Oracle数据库软件,并共享一组物理存储。
为了保护Oracle RAC集群的安全性,防火墙是必不可少的。
以下是一些与Oracle RAC防火墙规则相关的参考内容:1. 指定防火墙规则的目的:在编写防火墙规则之前,你需要明确规定它们的目的。
例如,你可以指定只允许特定的IP地址或IP地址范围访问Oracle RAC集群,或者限制特定端口的访问。
2. 防火墙规则的基本语法:防火墙规则通常由源IP地址、目标IP地址、源端口和目标端口等组成。
当有数据传输时,防火墙会根据这些规则来决定是否允许流量通过。
例如,你可以使用以下语法来配置一个防火墙规则:允许源IP地址为X.X.X.X,目标IP地址为Y.Y.Y.Y,源端口为A,目标端口为B的流量通过。
3. 具体的防火墙规则配置示例:下面是一些可以参考的防火墙规则配置示例:- 允许所有IP地址访问Oracle RAC集群的监听端口(默认端口为1521)。
- 仅允许特定IP地址范围的管理人员通过SSH协议访问Oracle RAC集群的管理节点。
- 限制外部访问Oracle RAC集群的数据库端口范围,仅允许特定的应用服务器IP地址访问。
4. 防火墙规则的优化:为了提高Oracle RAC集群的性能,你可以优化防火墙规则。
例如,你可以将访问频率高的IP地址添加到防火墙的白名单,从而避免重复检查和处理这些流量。
另外,你还可以合并多个规则,以减少规则表的大小和复杂度。
5. 定期审查和更新防火墙规则:Oracle RAC集群的网络环境可能会发生变化,因此定期审查和更新防火墙规则是必要的。
你应该定期检查防火墙日志,查看是否有异常的连接尝试或攻击行为,并相应地更新防火墙规则。
6. 备份防火墙规则:为了避免由于防火墙配置错误导致的问题,你应该定期备份防火墙规则。
Oracle数据库安全配置基线
Oracle数据库安全配置基线
简介
本文档旨在提供Oracle数据库的安全配置基线指南,以帮助确保数据库的安全性。
通过按照以下步骤进行配置,可以减少潜在的安全威胁和风险。
配置步骤
以下是Oracle数据库安全配置的基线步骤:
1. 安装最新的数据库补丁:确保在安装数据库之前,先安装最新的补丁程序,以修复已知的安全漏洞。
2. 禁用默认的系统帐户:在部署数据库之前,禁用默认的系统帐户(如SYSTEM、SYS、SYSMAN等),并创建自定义的管理员帐户。
3. 启用密码复杂性检查:使用强密码策略,确保数据库用户的密码具备足够的复杂性和强度。
4. 实施账户锁定策略:设置账户锁定策略,限制登录失败的次数,以防止暴力。
5. 限制数据库访问权限:核实数据库用户的访问权限,仅赋予他们所需的最低权限,以限制潜在的恶意操作。
6. 启用审计功能:启用Oracle数据库的审计功能,记录和监控数据库的所有活动,便于发现潜在的安全威胁。
7. 启用网络加密:使用SSL/TLS等加密协议,确保数据库与客户端之间的通信是安全和加密的。
8. 实施备份和恢复策略:定期备份数据库,并测试恢复过程,以防止数据丢失和灾难恢复。
9. 定期审查和更新安全配置:定期审查数据库的安全配置,并根据最新的安全标准和最佳实践的推荐,更新配置以提高安全性。
总结
通过遵循以上基线配置步骤,可以帮助提高Oracle数据库的安全性。
然而,在实际应用中,还应根据具体情况进行定制化的安全配置,并持续关注新的安全威胁和漏洞,及时进行更新和升级。
Oracle Argus Analytics 最低安全配置指南说明书
Oracle® Argus AnalyticsMinimum Security Configuration GuideRelease 8.2E96577-01August 2018This guide describes essential security management options for the followingapplications:■Oracle Argus Analytics■Oracle Business Intelligence Enterprise Edition1IntroductionThis guide presents the following security guidelines and recommendations:■Section2, "Configure Strong Password on the Database and WLS"■Section3, "Close All Open Ports not in Use"■Section4, "Disable the Telnet Service"■Section5, "Disable Other Unused Services"■Section6, "Check External Links Vulnerable to the Account Data"■Section7, "Enable SSL for OBIEE"■Section8, "Set Up Session Timeout in OBIEE"■Section9, "Log Security Restrictions"■Section10, "Create a New Security Realm"■Section11, "Delete the MAPVIEWER Component in OBIEE"2Configure Strong Password on the Database and WLSAlthough the importance of passwords is well-known, the following basic rule ofsecurity management is worth repeating:Make sure all your passwords are strong passwords.You can strengthen passwords by creating and using password policies for yourorganization.For guidelines on securing passwords and for additional ways to protect passwords,refer to the Oracle Database Security Guide specific to the database release you areusing.You should modify the following passwords to use your policy-compliant strings:■Passwords for the database default accounts, such as SYS and SYSTEM.■Passwords for the Weblogic Server default accounts, such as weblogic.■Password for the database listener. If you do not configure the database listener to require an authorization password, you unnecessarily expose the underlyingdatabase service names to unauthorized individuals.3Close All Open Ports not in UseKeep only a minimum number of ports open. You should close all ports that are not in use.4Disable the Telnet ServiceThe Argus Analytics application does not use the Telnet service. Telnet listens on port 23 by default.If the Telnet service is available on the Argus Analytics host machine, Oracle recommends that you disable Telnet in favor of Secure Shell (ssh).Telnet, which sends clear-text passwords and user names through a login, is a security risk to your servers. Disabling Telnet tightens and protects your system security.5Disable Other Unused ServicesIn addition to not using Telnet, the Argus Analytics application does not use the following services or information for any functionality:■Simple Mail Transfer Protocol (SMTP)—This protocol is an Internet standard for E-mail transmission across Internet Protocol (IP) networks.■Identification Protocol (identd)—This protocol is generally used to identify the owner of a TCP connection on UNIX.■Simple Network Management Protocol (SNMP)—This protocol is one method for managing and reporting information about different systems.Therefore, restricting these services or information will not affect the Argus Analytics application. If you are not using these services for other applications, Oracle recommends that you disable these services to minimize your security exposure.If you need SMTP, identd, or SNMP for other applications, be sure to upgrade to the latest version of the protocol to provide the most up-to-date security for your system.6Check External Links Vulnerable to the Account DataIn Argus Analytics, you can add customized links to the Home page, Dashboards, Report pages, and the Help icons. Any information that can be made available through a URL can be made accessible to Argus Analytics Onsite users.In addition, your customized links support passing session parameters, such as login user ID and user role, to a URL. By passing these session parameters, you can create target Web pages that switch the content according to the user login ID, user role, study, and site. You can create links that access websites relevant to your business. However, be aware that in some situations, such as links that access external websites, passing account data and session information may pose a security risk. In these cases, you can define the link to pass no session parameters to the URL.Besides this, the parameters that are passed as part of the URL links should not be trusted by the URLs receiving them. They should be securely coded, including by verifying their identity.7Enable SSL for OBIEE7.1Enable SSLTo enable SSL, refer to the Oracle® Argus Analytics Installation Guide > Configuring SSL for Oracle Argus Analytics in OBIEE.7.2Set Up a Secure Cookie on WebLogic ServerRefer to the MOS Note How to set up Secure Cookies on WebLogic Server section (Doc ID 1267117.1) to set up the secure SSL cookie.8Set Up Session Timeout in OBIEETo configure the user session timeout in OBIEE, refer to the documentation available for the Oracle Business Intelligence (Oracle BI) on Fusion Middleware 12c (12.2.1.4) > System Administrator's Guide for Oracle Business Intelligence Enterprise Edition > Section 5 Managing Performance Tuning and Query Caching > Using Fusion Middleware Control to Set the User Session Log-Off Period.https:///middleware/bi12214/biee/BIESG/GUID-94B30F1B-69F3-4 9DC-91D0-59C2CAFEC6A6.htm#BIESG2269Log Security RestrictionsQuery logging level defines the exposure of database queries to OBIEE users. By default, each user account's Logging Level is set to 0 (zero), which is no logging. Implement the following steps to set the levels for a user:1.Open BI Administration tool, and click Manage > Identity.2.Double-click the name of the user to select, and update the logging level in thepop-up menu.3.Enter the following information in the Logging Level:a.Level 0—No Loggingb.Level 1—Logged details are SQL statements, query response durations, userid, session id, request id.c.Level 2—Everything Logged in level 1 with additional information such asrepository name, business model name, subject area name, no of rowsreturned, etc.d.Level 3—Everything Logged in level 2 with additional information such aslogical query plan, purged cache, etc.e.Level 4—Everything Logged in level 3 with additional information of queryexecution plan.f.Level 5—Everything Logged in level 4 with detailed query execution plan10Create a New Security RealmA security realm can optionally include Identity Assertion, Auditing, and Certificate Registry providers. If your new security realm includes two or more providers of the same type (for example, more than one Authentication provider or more than one Authorization provider), you need to determine how these providers should interact with each other.Custom Authorization and Role Mapping providers may or may not support parallel security policy and role modification, respectively, in the security provider database. If your custom Authorization and Role Mapping security providers do not support parallel modification, the WebLogic Security framework can enforce a synchronization mechanism that results in each application and module being placed in a queue and deployed sequentially. To do this, set the Deployable Provider Synchronization Enabled and Deployable Provider Synchronization Timeout controls for the realm. 11Delete the MAPVIEWER Component in OBIEEOBIEE Mapviewer component comes with some demo code.Hence, it is recommended that you delete the Mapviewer component by using the following steps:1.Login to the OBIEE Administrator Console.2.Navigate to Deployments > Control tab, and click the Next hyperlink till theMapviewer application is displayed.3.Select the check box against the deployed Mapviewer application [Mapviewer].4.Click the Stop > When Work Completes button to shutdown the Mapviewerapplication.5.When the operation completes:a.Click Lock & Edit, and navigate to the Configuration tab.b.Continue click on the hyperlink till the Mapviewer application appears.c.Select the Mapviewer application [Mapviewer] check box, and click Delete toremove the application from the Domain Configuration.d.Click Yes to confirm.6.Activate the pending changes by clicking Activate Changes to completely deletethe Mapviewer application.12Documentation AccessibilityFor information about Oracle's commitment to accessibility, visit the Oracle Accessibility Program website at/pls/topic/lookup?ctx=acc&id=docacc.Access to Oracle SupportOracle customers that have purchased support have access to electronic support through My Oracle Support. For information, visit/pls/topic/lookup?ctx=acc&id=info or visit/pls/topic/lookup?ctx=acc&id=trs if you are hearing impaired.Oracle Argus Analytics Security Configuration Guide, Release 8.2E96577-01Copyright © 2018, Oracle and/or its affiliates. All rights reserved.This software and related documentation are provided under a license agreement containing restrictions on use and disclosure and are protected by intellectual property laws. Except as expressly permitted in your license agreement or allowed by law, you may not use, copy, reproduce, translate, broadcast, modify, license, transmit, distribute, exhibit, perform, publish, or display any part, in any form, or by any means. Reverse engineering, disassembly, or decompilation of this software, unless required by law for interoperability, is prohibited.The information contained herein is subject to change without notice and is not warranted to be error-free. If you find any errors, please report them to us in writing.If this is software or related documentation that is delivered to the U.S. Government or anyone licensing it on behalf of the U.S. Government, then the following notice is applicable:U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs. No other rights are granted to the U.S. Government.This software or hardware is developed for general use in a variety of information management applications. It is not developed or intended for use in any inherently dangerous applications, including applications that may create a risk of personal injury. If you use this software or hardware in dangerous applications, then you shall be responsible to take all appropriate fail-safe, backup, redundancy, and other measures to ensure its safe use. Oracle Corporation and its affiliates disclaim any liability for any damages caused by use of this software or hardware in dangerous applications. Oracle and Java are registered trademarks of Oracle and/or its affiliates. Other names may be trademarks of their respective owners.Intel and Intel Xeon are trademarks or registered trademarks of Intel Corporation. All SPARC trademarks are used under license and are trademarks or registered trademarks of SPARC International, Inc. AMD, Opteron, the AMD logo, and the AMD Opteron logo are trademarks or registered trademarks of Advanced Micro Devices. UNIX is a registered trademark of The Open Group.This software or hardware and documentation may provide access to or information about content, products, and services from third parties. Oracle Corporation and its affiliates are not responsible for and expressly disclaim all warranties of any kind with respect to third-party content, products, and services unless otherwise set forth in an applicable agreement between you and Oracle. Oracle Corporation and its affiliates will not be responsible for any loss, costs, or damages incurred due to your access to or use of third-party content, products, or services, except as set forth in an applicable agreement between you and Oracle.。
Oracle安全管理
数据库安全可分为两类:系统安全性和数据安全性。
(1)系统安全性是指在系统级控制数据库的存取和使用的机制,包含: 有效的用户名/口令的组合。 一个用户是否授权可连接数据库。 用户对象可用的磁盘空间的数量。 用户的资源限制。 数据库审计是否是有效的。 用户可执行哪些系统操作。 (2)Oracle利用下列机制管理数据库安全性: 数据库用户和模式。 特权。 角色。 存储设置和空间份额。 资源限制。 审计。
用户的管理 1.Oracle 9i默认的用户 Oracle 9i默认的用户主要有以下几个:
表8-1 Oracle 9i 默认用户表
用户名 sys system
口令 change_on_inห้องสมุดไป่ตู้tall manager
登录身份及说明 SYSDBA或SYSOPER,但不能以NORMAL登 录,可作为默认的系统管理员 SYSDBA或NORMAL,但不能以SYSOPER登 录,可作为默认的系统管理员
第八章 Oracle安全管理
课程目标
了解和掌握Oracle的用户管理 了解和掌握Oracle的角色管理 Oracle的安全管理
体验项目——<Oracle用户和角色的管理 >
本章体验项 目实现对用 户和角色进 行创建、修 改和删除等 操作,程序 启动后,运 行结果如图 8-1所示:
图8-1 程序运行结果
3.用户的修改
(1)登录企业管理器,在“用户”结节的下找到需要修改的用 户,右键选中该用户,即弹出右键菜单 (2)在右键菜单中选中“查看/编辑详细资料”菜单项,即弹 出“编辑用户”对话框,在该对话框中可以修改用户名、口令、 表空间、状态,同时可以修改角色、系统权限、对象权限、使 用者组、限额及代理用户的相关信息,修改完成后,点击“确 定”按钮,即可完成对用户的修改。
基于Oracle数据库安全问题的研究
基于Oracle数据库安全问题的研究摘要:oracle数据库是当前应用范围最广的数据库系统之一,其系统安全性也倍受关注。
本文将从oracle数据库的特点出发来分析oracle数据库存在的一些安全问题,然后提出一些相应的解决策略。
关键词:oracle 数据库安全安全策略中图分类号:文献标识码:a 文章编号:1007-9416(2013)01-0173-02由于oracle数据库是目前比较流行的关系型数据库,它的性能卓越,功能强大,操作也比较容易,因此越来越被广大爱好者使用。
但随着应用的增多,数据信息的大量增加,数据库的安全性受到多方面的威胁,包括对数据库中信息的窃取、篡改和破坏、黑客的攻击和病毒的侵害等,均会造成数据库中的数据大量丢失。
因此,如何做好oracle数据库的安全,使数据库系统免遭破坏,是当前数据库管理人员必须解决的问题。
1 oracle数据库的的特点(1)支持多用户、大事务量的事务处理:以oracle公司公布的数据为例,oracle8可以支持2万人的并发用户数,支持的数据量为512pb(1024×1024gb),并充分利用硬件设备、支持多用户并发操作、保证数据一致性。
(2)数据安全性和完整性控制:oracle通过权限控制用户对于数据库的存取、实施数据库审计、追踪,以监控数据库的使用状况。
(3)提供对于数据库操作的接口:oracle提供了应用程序、软件、高级语言、异种数据库等对数据库来进行存取。
(4)支持分布式数据处理:从oracle7开始,oracle数据库就支持分布式数据处理。
使用分布式计算环境,可以充分利用计算机网络系统,使不同地域的硬件、数据资源实现共享。
(5)可移植性、可兼容性、可连接性:oracle数据库可以在不同的操作系统上运行,当从一种操作系统移植到另外的操作系统时,只修改少量的代码,其代码的修改率仅为4%。
2 oracle数据库存在的一些安全问题2.1 数据库环境安全配置不合理许多数据库人员在安装配置oracle系统时没有十分重视,在配置过程中存在用户口令过于简单,dba口令有多人知道,监听没有设置口令,存在安全问题的内置包没有撤销相应的权限,oracle各类文件没有设置合理的安全许等问题。
Oracle数据库管理与开发第9章 系统安全管理
INSERT
SELECT
UPDATE
创建用户角色
创建用户角色的语法:
create role role_name [ not identified | identified by [password] | [exeternally] | [globally]]
试一试
创建一个名为designer的角色,该角色的口令为123456
创建用户
试一试
创建一个mr用户,口令为mrsoft,并设置默认的表空间为users,临时表 空间为temp的用户。
SQL> create user mr identified by mrsoft default tablespace users temporary tablespace temp;
安全特性
3.过程安全 过程方案的对象权限(其中包括独立的过程、函数和包)只有EXECUTE权限,将这个权限 授予需要执行的过程或需要编译另一个需要调用它的过程。 (1)过程对象。具有某个过程的EXECUTE对象权限的用户可以执行该过程,也可以编译引 用该过程的程序单元。过程调用时不会检查权限。具有EXECUTE ANY PROCEDURE系统权限的 用户可以执行数据库中的任何过程。当用户需要创建过程时,必须拥有CREATE PROCEDURE 系统权限或者是CREATE ANY PROCEDURE系统权限。当需要修改过程时,需要ALTER ANY PROCEDURE系统权限。 拥有过程的用户必须拥有在过程体中引用的方案对象的权限。为了创建过程,必须为过程 引用的所有对象授予用户必要的权限。 (2)包对象。拥有包的EXECUTE对象权限的用户,可以执行包中的任何公共过程和函数, 能够访问和修改任何公共包变量的值。对于包不能授予EXECUTE权限,当为数据库应用开发 过程、函数和包时,要考虑建立安全性。
oracle 资源配置参数
oracle 资源配置参数(实用版)目录1.Oracle 简介2.Oracle 资源配置参数的作用3.Oracle 资源配置参数的分类4.Oracle 资源配置参数的具体设置方法5.Oracle 资源配置参数的优化建议正文一、Oracle 简介Oracle 是一款广泛应用于企业级数据管理的关系型数据库管理系统。
其性能优越、安全性高、可扩展性强,成为众多企业的首选数据库解决方案。
在 Oracle 数据库中,资源配置参数对于优化数据库性能至关重要。
二、Oracle 资源配置参数的作用Oracle 资源配置参数是用于调整数据库系统中各种资源的分配和优化的重要手段。
合理的资源配置可以提高数据库性能,降低系统故障率,保证数据的安全与稳定。
三、Oracle 资源配置参数的分类Oracle 资源配置参数主要分为以下几类:1.CPU 资源配置参数:用于调整数据库系统中 CPU 资源的分配,如CPU 使用率、I/O 使用率等。
2.内存资源配置参数:用于调整数据库系统中内存资源的分配,如SGA(共享内存区)、PGA(程序全局区)等。
3.存储资源配置参数:用于调整数据库系统中存储资源的分配,如数据文件、控制文件、日志文件等。
4.网络资源配置参数:用于调整数据库系统中网络资源的分配,如TCP 连接数、最大客户端连接数等。
四、Oracle 资源配置参数的具体设置方法1.CPU 资源配置参数设置:可以通过调整 Oracle 实例的 SGA 和PGA 参数,以及调整操作系统的资源分配来优化 CPU 资源配置。
2.内存资源配置参数设置:可以通过调整 SGA 和 PGA 的大小,以及调整操作系统的内存分配策略来优化内存资源配置。
3.存储资源配置参数设置:可以通过调整数据文件、控制文件和日志文件的大小,以及调整文件系统的磁盘空间分配来优化存储资源配置。
4.网络资源配置参数设置:可以通过调整 Oracle 实例的连接参数,以及调整操作系统的网络配置来优化网络资源配置。
oracle restrict规则
一、什么是Oracle Restrict规则Oracle Restrict规则指的是Oracle数据库中对数据访问进行限制的一种规则。
它可以帮助数据库管理员或开发人员限制用户对数据库中特定数据的访问权限,从而保护数据的安全性和完整性。
二、 Oracle Restrict规则的作用1. 保护敏感数据Oracle Restrict规则可以用来保护数据库中的敏感数据,例如个人隐私信息、商业机密等。
通过限制只有经过授权的用户才能访问这些数据,可以防止未经授权的用户进行非法访问或泄露敏感数据。
2. 控制数据访问权限数据库管理员可以利用Oracle Restrict规则对用户的数据访问权限进行精确控制。
通过配置不同的Restrict规则,可以限制用户对特定表、视图或列的访问权限,从而确保数据只能被授权用户访问。
3. 提高数据安全性通过合理配置Oracle Restrict规则,可以有效提高数据库的安全性。
限制用户的访问权限可以减少内部和外部的数据泄露风险,保护数据库中的数据免受未经授权的访问和篡改。
三、 Oracle Restrict规则的配置方法1. 使用Oracle自带的权限管理工具Oracle数据库自带了完善的权限管理工具,可以通过这些工具来配置和管理Restrict规则。
可以使用GRANT和REVOKE语句来授予或收回用户的访问权限;也可以使用角色和权限组来管理不同用户的权限。
2. 使用数据库管理工具一些数据库管理工具也提供了可视化的权限管理界面,可以方便地对Oracle Restrict规则进行配置。
管理员可以通过这些工具直观地设置用户的访问权限、定义访问规则等,简化了权限管理的操作流程。
3. 编写存储过程和触发器对于复杂的数据访问限制需求,可以考虑编写存储过程和触发器来实现。
通过编写自定义的存储过程和触发器,可以实现更加精细化和灵活的数据访问控制,满足特定业务场景下的需求。
四、 Oracle Restrict规则的最佳实践1. 遵循最小权限原则在配置Oracle Restrict规则时,应该遵循最小权限原则,即给予用户最小必要的访问权限。
oracle 的连接参数
oracle 的连接参数Oracle的连接参数是在使用Oracle数据库时所需的参数配置,它决定了数据库连接的方式和行为。
正确配置连接参数可以提高数据库的性能和安全性。
以下是一些常见的Oracle连接参数及其作用。
1. 用户名和密码(User ID and Password):在连接Oracle数据库时,需要提供有效的用户名和密码来进行身份验证。
用户名用于标识数据库用户,而密码用于验证用户的身份。
正确的用户名和密码才能成功连接到数据库。
2. 数据库主机地址(Host Address):数据库主机地址指的是Oracle数据库所在的服务器的IP地址或主机名。
通过指定正确的主机地址,客户端才能与服务器建立连接。
3. 端口号(Port Number):端口号是用于标识不同网络服务的数字。
Oracle数据库使用默认的端口号1521。
在连接数据库时,客户端需要指定正确的端口号以与数据库进行通信。
4. 服务名(Service Name):服务名是指Oracle数据库所提供的数据库服务的名称。
每个数据库可以有一个或多个服务名。
客户端可以通过指定正确的服务名来连接到特定的数据库。
5. SID(System Identifier):SID是Oracle数据库的唯一标识符,用于区分不同的数据库实例。
在连接到数据库时,客户端可以通过指定正确的SID来选择要连接的数据库。
6. 连接类型(Connection Type):连接类型指的是客户端与数据库之间建立连接的方式。
常见的连接类型包括本地连接(Local Connection)和远程连接(Remote Connection)。
本地连接是指客户端和数据库在同一台机器上,而远程连接是指客户端和数据库在不同的机器上。
7. 连接超时时间(Connection Timeout):连接超时时间指的是客户端连接数据库时等待的最长时间。
如果在超过超时时间后仍无法建立连接,连接将被终止。
oracle dg 方案
oracle dg 方案Oracle DG (Data Guard) 方案随着数据量的爆炸增长和企业对数据安全性和可用性的要求越来越高,数据库高可用性解决方案变得越来越重要。
Oracle DG (Data Guard)方案被广泛应用于保障数据库的高可用性、灾难恢复和数据保护。
1. 什么是Oracle DG(Data Guard)方案?Oracle DG(Data Guard)是Oracle数据库提供的一种数据保护和高可用性解决方案。
它通过将主数据库的变更流(Redo Log)传输到一个或多个备用数据库,提供了实时的数据备份和复制。
一旦主数据库发生故障,备用数据库可以快速切换为主数据库,实现无感知的故障切换。
2. Oracle DG方案的工作原理Oracle DG方案主要通过三个关键组件实现高可用性和数据保护:主数据库、备用数据库和Redo传输机制。
主数据库用于处理用户的读写请求,生成Redo Log,并将其传输到备用数据库。
备用数据库通过应用主数据库的Redo Log,实时同步数据。
3. Oracle DG方案的优势(1)高可用性:Oracle DG方案可以实现自动故障切换,降低系统停机时间,确保业务连续性。
当主数据库发生故障时,备用数据库可以立即接管。
(2)数据保护:通过实时传输主数据库的Redo Log,Oracle DG方案提供了可靠的数据保护。
即使主数据库发生灾难性故障,备用数据库也可以快速恢复数据。
(3)灾难恢复:Oracle DG可以将备用数据库部署在远程地点,以实现异地灾难恢复。
当主数据中心遭受自然灾害等严重破坏时,备用数据库可以恢复服务,保障业务的持续运行。
4. Oracle DG的几种模式Oracle DG方案可以根据数据库同步方式的不同分为三个模式:最大性能模式、最大可用性模式和最大保护模式。
(1)最大性能模式:主数据库将Redo Log传输给备用数据库,不等待其确认。
这种模式下,主数据库的性能最高,适用于对数据延迟要求较高,可承受一定数据损失的应用场景。
oracle安全基线
Oracle数据库安全配置基线加固操作指导书佛山供电局信息中心2014年4月目录1.1 Oracle数据库安全配置基线 (2)1.1.1 确保数据库多余用户已锁定 (2)1.1.2 口令加密 (3)1.1.3 数据库SYSDBA帐号登录控制 (3)1.1.4 口令应有复杂度要求 (5)1.1.5 应启用登录失败处理功能 (9)1.1.6 网络通信加密 (10)1.1.7 应对数据库主机管理员帐号进行控制 (10)1.1.8 依据安全策略控制用户对资源的访问 (12)1.1.9 实现管理用户的权限分离 (13)1.1.10 应对数据库数据字典保护 (14)1.1.11 确保安全审计配置符合安全审计策略的要求 (15)1.1.12 应保护审计记录避免受到破坏 (17)1.1.13 数据库系统应遵循最小安装的原则 (17)1.1.14 应设置监听口令 (17)1.1.15 应设置监听服务空闲连接超时时间 (19)1.1 Oracle数据库安全配置基线1.1.1 确保数据库多余用户已锁定利用sqlplus登录进oracle数据库执行下列语句查看所有用户:select * from all_users;1.1.2 口令加密1.1.3 数据库SYSDBA帐号登录控制1、远程登录利用sqlplus登录进oracle数据库使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE确保设置为NONE。
执行语句:Show parameter REMOTE_LOGIN_PASSWORDFILE;2、自动登录在服务器上查找 SQLNET.ORA 文件,一般是$ORACLE_HOME/network/admin 目录中,不过有时路径会不一样(按实际情况查找,直接采用搜索功能也可)。
查看该文件SQLNET.AUTHENTICATION_SERVICES的值,确保为none1、远程登录2、自动登录在$ORACLE_HOME\network\admin目录下的Sqlnet.ora文件中设置SQLNET.AUTHENTICATION_SERVICES=(NONE)1.1.4 口令应有复杂度要求1.1.5 应启用登录失败处理功能利用sqlplus登录进oracle数据库。
Oracle数据库安全配置规范【华为】
目录1概述 (2)1.1适用范围 (2)1.2内部适用性说明 .......................................................................................................... 错误!未定义书签。
1.3外部引用说明 .............................................................................................................. 错误!未定义书签。
1.4术语和定义 .................................................................................................................. 错误!未定义书签。
1.5符号和缩略语 (2)2ORACLE安全配置要求 (2)2.1账号 (2)2.2口令 (7)2.3日志 (11)2.4其他 (13)1概述1.1适用范围本规范明确了Oracle数据库安全配置方面的基本要求。
1.2符号和缩略语2ORACLE安全配置要求本规范所指的设备为ORACLE数据库。
本规范提出的安全配置要求,在未特别说明的情况下,均适用于ORACLE数据库。
本规范从ORACLE数据库的认证授权功能、安全日志功能,和其他自身安全配置功能提出安全要求。
2.1账号ORACLE应提供账号管理及认证授权功能,并应满足以下各项要求。
2.1.1按用户分配帐号2.1.2删除或锁定无关帐号2.1.3限制SYSDBA用户的远程登录2.1.4用户权限最小化2.1.5使用ROLE管理对象的权限2.1.6控制用户属性2.1.7启用数据库字典保护2.2口令2.2.1静态口令认证的密码复杂度控制2.2.2静态口令认证的密码生命周期2.2.3静态口令认证的密码重复使用限制2.2.4景泰口令认证的连续登录失败的帐号锁定策略2.2.5更改数据库默认帐号的密码2.2.6操作系统级的帐户安全策略2.3日志2.3.1登录日志功能2.3.2DDL日志2.3.3数据库审记2.4其他2.4.1VPD与OLS2.4.2Data Vault2.4.3Listener设定密码保护2.4.4设定信任IP集2.4.5加密网络传输2.4.6断开超时的空闲远程连接2.4.7限制DBA组中的操作系统用户数量。
Oracle数据库安装配置
1
本讲主要内容
了解Oracle数据库体系结构 安装和配置Oracle数据库 创建数据库
引领成长 启迪 想
2
Oracle数据库发展历程
oracle11g
oracle10g oracle9i oracle8i oracle8 oracle7 oracle6 oracle5 oracle4 2001年 oracle3 1998年 oracle1, oracle 2 1988年 1985年 1984年 1983年 1979年 1997年 1992年 2004年 2007年
卸载Oracle数据库的具体步骤如下:
关闭oracle所有的服务 运行regedit进入注册表 打开注册表,找到路径:HKEY_LOCAL_MACHINE\SOFTWARE 删除该oracle目录,该目录下注册着Oracle数据库的软件安装信 息。 找到路径:HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services 删除该路径下的所有以oracle开始的服务名称,这个键是标识 Oracle在windows下注册的各种服务! 找到路径:HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Eventlog\Application 删除注册表的以oracle开头的所有项目,该目录下注册着oracle 事件日志 引领成长
18
18
测试配置是否成功
• 方法: 命令行下键入 "lsnrctl " • 在 lsnrctl控制台窗口中键入"services 监听程序名" , 如:LSNRCTL>services orcl • 如果出现"摘要信息" ,则说明监听程序已启动 • 如果出现"无监听器"字样,说明监听程序未被启 动
ORACLE数据库部署方案设计
ORACLE数据库部署方案设计一、引言ORACLE数据库是一款用户较为广泛的数据库管理系统,具备可扩展性、高性能、高可用性等优点,在各个行业有着广泛的应用。
为了充分利用ORACLE数据库的功能和特性,本文将针对一个典型的企业环境,设计一个ORACLE数据库部署方案。
二、系统需求分析1.系统规模:企业拥有大量的数据,需要一个可扩展的数据库系统来支持。
2.数据处理能力:需要满足高性能、高并发的数据处理需求。
3.数据安全:要求对数据进行安全的存储和访问控制。
4.可用性:要求数据库系统有高可用性,能够保证数据的连续性和可靠性。
5.数据备份与恢复:要求数据库系统能够进行定期的数据备份,并能够快速恢复。
6.系统可管理性:要求能够对数据库系统进行方便、高效的管理和维护。
三、系统设计方案1.硬件设计:为了满足系统规模大、数据处理能力强的需求,可以采用集群部署的方式。
集群包括多台服务器,通过局域网连接,形成一个数据库集群。
每台服务器都安装有ORACLE数据库,通过集群管理软件实现数据库的负载均衡与故障转移。
每台服务器都配备足够的存储空间和内存容量,以保证数据的存储和访问速度。
2.数据库设计:为了满足高性能、高并发的数据处理需求,可以将数据库划分为多个表空间,每个表空间可以单独存放不同类型的数据(如用户数据、索引数据、系统数据等),以提高读写性能。
同时,可以将数据库进行分区划分,将数据按照时间或其它规则进行分开存储,以便提高数据的查询效率。
3.数据库安全设计:为了保证数据的安全性,可以采取多层次的安全措施。
首先,可以通过对数据库进行访问控制,只允许授权用户访问数据库,并限制用户的权限。
其次,可以对敏感数据进行加密存储,以保护数据的隐私。
同时,可以定期对数据库进行安全检查和漏洞扫描,及时修补安全隐患。
4.高可用性设计:为了提高数据库的可用性,可以采用主备模式来进行数据备份与恢复。
即在集群中设置主数据库和备份数据库,主数据库用于正常的数据处理,备份数据库用于数据的备份和恢复。
oracle19c_数据字典保护参数_解释说明
oracle19c 数据字典保护参数解释说明1. 引言1.1 概述在现代信息时代,数据的安全性和保护变得越来越重要。
数据库作为存储和管理大量关键数据的核心组件,必须采取有效措施来保护其中的数据。
Oracle是当今业界最流行和广泛使用的关系型数据库之一,它提供了许多功能和机制来确保数据库的安全性。
本文将重点介绍Oracle 19c中的数据字典保护参数,并对其进行详细解释说明。
数据字典是Oracle数据库中存储有关表、列、索引、用户等对象以及其属性信息的系统表。
由于数据字典的重要性,为了防止非授权用户获取敏感数据或篡改系统元数据,Oracle引入了一些特定参数来加强对数据字典的保护。
1.2 文章结构本文将按照以下结构进行讲解:- 第2部分将介绍什么是数据字典保护参数,并强调数据字典在Oracle数据库中的重要性。
- 第3部分将详细解释说明Oracle 19c中各个具体的数据字典保护参数。
- 第4部分将介绍实施这些参数所需遵循的步骤和注意事项。
- 最后,在第5部分总结文章内容并再次强调Oracle 19c数据字典保护参数的重要性,并展望数据库安全性的未来发展方向。
1.3 目的本文的目的是为读者提供对于Oracle 19c中数据字典保护参数的全面理解和解释。
通过深入了解这些参数及其作用,读者将能够更好地保护数据库中存储的关键数据,并采取适当措施预防潜在的安全威胁。
同时,本文也旨在引起人们对数据库安全性问题的关注,并为未来改进数据库安全性提供思路和方向。
2. 数据字典保护参数2.1 什么是数据字典保护参数数据字典保护参数是Oracle数据库中的一组配置选项,用于保护和管理数据库中的核心组件和关键元数据。
这些参数可以控制对数据字典的访问权限、修改操作以及数据字典在系统运行时的行为。
2.2 数据字典的重要性数据字典是Oracle数据库中非常重要的组成部分,它记录了数据库对象(如表、视图和索引)的定义和属性信息,存储了系统级别的统计信息,并提供了对数据库结构和内容的访问接口。
中国移动Oracle数据库安全配置基线规范资料
le数据rac库动中国移O 配置安全基线规范Title{英文黑体四号}版本号:2.0.0{黑体小四}施实╳╳-╳发╳╳-╳╳╳╳╳-╳布╳-╳╳╳╳中国移动设备(功能、配置)安全基线规范(模版)目录....................................................................................................................................................................... 1.概述1....................................................................................................................................................... 1.适用范围1.1........................................................................................................................................... 1 .1.2内部适用性说明............................................................................................................................................... 2 1.3.外部引用说明................................................................................................................................................... 2 1.4.术语和定义............................................................................................................................................... 4.1.5符号和缩略语...................................................................................................... 4 ORACLE2数据库(功能、配置)安全基线............................................................................................................................................................... 42.1账号............................................................................................................................................................... 5口令2.2............................................................................................................................................................... 52.3授权............................................................................................................................................................... 52.4日志................................................................................................................................................................... 52.5IP (6)其他2.6............................................................................................................................................................... 6 3编制历史.中国移动设备(功能、配置)安全基线规范(模版)前言本标准由中国移动通信有限公司网络部提出并归口。
数据库运维管理规范
数据库运维管理规范一、引言在当今数字化时代,数据库作为企业信息系统的核心组成部分,承载着关键业务数据和信息。
为确保数据库的稳定运行、高效性能和数据安全,制定一套科学、完善的数据库运维管理规范至关重要。
二、目标与范围(一)目标数据库运维管理的主要目标是保障数据库系统的可用性、完整性和安全性,优化数据库性能,满足业务需求,并遵循相关法规和政策。
(二)范围本规范适用于企业内部所有数据库系统,包括但不限于关系型数据库(如 MySQL、Oracle、SQL Server 等)、非关系型数据库(如MongoDB、Redis 等)。
三、职责分工(一)数据库管理员(DBA)1、负责数据库的安装、配置、升级和维护。
2、制定和执行数据库备份与恢复策略。
3、监控数据库性能,优化数据库结构和查询语句。
4、处理数据库故障和异常情况,保障数据库的高可用性。
(二)开发团队1、遵循数据库设计规范进行应用开发。
2、对数据库操作进行性能评估和优化。
(三)安全团队1、负责数据库的安全策略制定和实施。
2、监控数据库的访问权限,防止未经授权的访问。
(四)业务部门1、提出数据库相关的业务需求和变更申请。
2、配合 DBA 进行数据库性能测试和优化。
四、数据库设计与开发规范(一)数据库选型根据业务需求、数据量、性能要求等因素选择合适的数据库类型和版本。
(二)数据库架构设计1、遵循规范化设计原则,合理划分数据表和字段。
2、建立适当的索引,提高查询效率。
(三)开发规范1、编写高质量的 SQL 语句,避免复杂的嵌套查询和不必要的全表扫描。
2、对数据库操作进行事务控制,确保数据的一致性。
五、数据库安全管理(一)用户权限管理1、遵循最小权限原则,为不同用户分配适当的权限。
2、定期审查用户权限,及时删除不必要的权限。
(二)数据加密对敏感数据进行加密存储,保障数据的保密性。
(三)访问控制1、限制数据库的访问来源,只允许授权的网络和设备访问。
2、建立防火墙规则,防止外部攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Oracle数据库安全配置规范1概述1.1目的本规范明确了oracle数据库安全配置方面的基本要求。
为了提高oracle数据库的安全性而提出的。
1.2范围本规范适用于XXXXX适用的oracle数据库版本。
2配置标准2.1账号管理及认证授权2.1.1按照用户分配账号[目的]应按照用户分配账号,避免不同用户共享账号。
[具体配置]create user abc1 identified bypassword1;createuser abc2 identifiedby password2;建立role,并给role授权,把role赋给不同的用户删除无关账号。
[检测操作]2.1.2删除无用账号[目的]应删除或锁定与数据库运行、维护等工作无关的账号。
[具体配置]alter user usernamelock;drop user username cascade;[检测操作]2.1.3限制DBA远程登入[目的]限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。
[具体配置]1.在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。
2.在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登入。
[检测操作]1.以Oracle用户登入到系统中。
2.以sqlplus‘/assysdba’登入到sqlplus环境中。
3.使用showparameter 命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。
Show parameter REMOTE_LOGIN_PASSWORDF ILE4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE.2.1.4最小权限[目的]在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
[具体配置]!给用户赋相应的最小权限grant 权限to username;!收回用户多余的权限revoke权限from username;[检测操作]2.1.5数据库角色[目的]使用数据库角色(ROLE)来管理对象的权限。
[具体配置]1.使用Create Role命令创建角色。
2.使用Grant命令将相应的系统、对象或Role的权限赋予应用用户。
[检测操作]1.以DBA用户登入到sqlplus中。
2.通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。
2.1.6用户属性[目的]对用户的属性进行控制,包括密码策略、资源限制等。
[具体配置]可通过下面类似命令来创建profile,并把它赋予一个用户CREATE PROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS 6PASSWORD_LIFE_TIME 60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTION verity_functionPASSWORD_LOCK_TIME 1/24PASSWORD_GRACE_TIME 90;ALTER USER jd PROFILEapp_user2;!可通过设置profile来限制数据库账户口令的复杂程度,口令生产周期和账户的锁定方式等。
!可通过设置profile来限制数据库账户的CPU资源占用。
[检测操作]2.1.7数据字典保护[目的]启用数据字典保护,只有SYSDBA用户才能访问数据字典基础表。
[具体配置]通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。
O7_DICTIONARY_ACCESSIBILITY=FALSE[检测操作]以普通dba用户登入到数据库,不能查看X$开头的表,比如:select * from sys,x$ksppi;1:以Oracle用户登入到系统中。
2:以sqlplus ‘/as sysdba’登入到sqlplus环境中。
3:使用show parameter 命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。
Show parameter O7_DICTIONARY_ACCESSIBILITY2.1.8DBA组操作系统用户数量[目的]限制在DBA组中的操作系统用户数量,通常DBA组中只有Oracle安装用户。
[具体配置]通过/etc/passwd 文件来检查是否有其它用户在DBA组中。
[检测操作]无其它用户属于DBA组。
或者通过/etc/passwd文件来检查是否有其它用户在DBA组中。
2.2口令2.2.1口令复杂度[目的]对于采用静态口令进行认证的数据库,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
[具体配置]为用户建profile,调整PASSOWRD_VERIFY_FUNCTION,指定密码复杂度[检测操作]修改密码为不符合要求的密码,将失败。
Alter user abcd1 identifiedby abcd1;将失败2.2.2口令期限[目的]对于采用静态口令认证技术的数据库,账户口令的生存期不长于90天。
[具体配置]为用户建相关profile,指定PASSWORD_GRACE_TIME为90天。
[检测操作]到期不修改密码,密码将会失败。
连接数据库将不会成功connect username/password报错2.2.3口令历史[目的]对于采用静态口令认证技术的数据库,应配置数据库,使用户不能重复使用最近5次(含5次)内使用的口令。
[具体配置]为用户建profile,指定PASSWORD_REUSE_MAX为5[检测操作]alter user username identified by password;如果password1在5次修改密码内被使用,改操作将不成功。
2.2.4失败登录次数[目的]对于采用静态口令认证技术的数据库,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
[具体配置]为用户建profile,指定FAILED_LOGIN_ATTEMPTS为6[检测操作]connectusername/password,连续6次失败,用户被锁定。
连续6次用错误的密码连接用户,第7次时用户将被锁定。
2.2.5默认账号的密码[目的]更改数据库默认账号的密码。
[具体配置]ALTER USER XXX IDENTIFIED BY XXX; 下面是默认用户列表:ANONYMOUSCTXSYSDBSNMPDIPDMSYSEXFSYSHRLBACSYSMDDATAMDSYSMGMT_VIEWODMODM_MTROEOLAPSYSORDPLUGINSORDSYSOUTLNPMQSQS_ADMQS_CBQS_CBADMQS_CSQS_ESQS_OSQS_WSRMANSCOTTSHSI_INFORMTN_SCHEMA SYSSYSMANSYSTEMTSMSYSWK_TESTWKPROXYWKSYSWMSYSXDB[检测操作]不能以用户名作为密码或使用默认密码的账户登入到数据库。
或者1.以DBA用户登入到sqlplus中。
2.检查数据库默认账户是否使用了用户名作为密码或默认密码。
2.2.6遵循操作系统账号策略[目的]Oracle软件账户的访问控制可遵循操作系统账户的安全策略,比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。
[具体配置]使用操作系统以及的账户安全管理来保护Oracle软件账户。
[检测操作]每3个月自动提示更改密码,过期后不能登入。
每3个月强制修改Oracle软件账户密码,并且密码需要满足一定的复杂程度,符合操作系统的密码需要。
2.3日志2.3.1登录日志[目的]数据库应配置日志功能,对用户登入进行记录,记录内容包括用户登入使用的账号、登入是否成功、登入时间以及远程登入时使用的IP地址。
[具体配置]创建ORACLE登入触发器,记录相关信息,但对IP地址的记录会有困难1.建表LOGON_TABLE2.建触发器CREATE TRIGGER TRI_LOGONAFTER LOGONON DATABASEBEGININSERTINTO LOGON_TABLE VALUES(SYS_CONTEXT(‘USERENV’,’S ESSION_USER’),SYSDATE);END;触发器与AUDIT会有相应资源开消,请检查系统资源是否充足。
特别是RAC 环境,资源消耗较大。
[检测操作]2.3.2操作日志[目的]数据库应该配置日志功能,记录用户对数据库的操作,包括但不限于以下内容:账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果。
[具体配置]创建ORACLE登入触发器,记录相关信息,但对IP地址的记录会有苦难1.建表LOGON_TABLE2.建触发器CREATE TRIGGER TRI_LOGONAFTER LOGON ON DATABASEBEGININSERT INTOLOGON_TABLEVALUES (SYS_CONTEXT(‘USERENV’,’SESSIO_USER’),SYSDATE);END;#触发器与AUDIT会有相应资源开消,请检查系统资源是否充足。
特别是RAC环境,资源消耗较大。
[检测操作]2.3.3安全事件日志[目的]数据库应配置日志功能,记录对与数据库相关的安全事件。
[具体配置]创建ORACLE登入触发器,记录相关信息,但对IP地址的记录会有困难1.建表LOGON_TABlE2.建触发器CREATE TRIGGERTRI_LOGONAFTER LOGON ONDATABASEBEGININSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT(‘USER ENV’,’SESSION_USER’),SYSDATE);END;触发器与AUDIT会有相应的资源开消,请检查系统资源是否充足。
特别是RAC 环境,资源消耗较大。
[检测操作]2.3.4数据库审计策略[目的]根据业务要求制定数据库审计策略。
[具体配置]1.通过设置参数audit_trail=db或os来打开数据库审计。
2.然后可以使用Audit命令对相应的对象进行审计设置。
[检测操作]对审计的对象进行一次数据库操作,检查操作是否被记录。