中国移动Oracle数据库安全配置基线规范资料

中国移动Oracle数据库

配置安全基线规范

Title{英文黑体四号}

版本号：2.０.０{黑体小四}

╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施

目录

1概述........................................................................................................................................................................1

1.1

1.2

1.3

1.4

1.5

2

适用范围........................................................................................................................................................1

内部适用性说明............................................................................................................................................1

外部引用说明................................................................................................................................................2

术语和定义....................................................................................................................................................2

符号和缩略语................................................................................................................................................4

ORACLE数据库（功能、配置）安全基线......................................................................................................4

2.1

2.2

2.3

2.4

2.5

2.6

账号...............................................................................................................................................................4

口令...............................................................................................................................................................5

授权...............................................................................................................................................................5

日志...............................................................................................................................................................5

IP...................................................................................................................................................................5

其他...............................................................................................................................................................6

3编制历史................................................................................................................................................................6

前言

本标准由中国移动通信有限公司网络部提出并归口。

本标准由标准提出并归口部门负责解释。

本标准起草单位：中国移动通信有限公司网络部

本标准解释单位：同提出单位

1概述

1.1适用范围

本规范适用于中国移动通信网、业务系统和支撑系统中使用的Oracle数据库

设备。本规范明确了设备的基本安全要求，为在设备入网测试、工程验收和设备

运行维护环节明确相关安全要求提供指南。本规范可作为编制设备入网测试规

范，工程验收手册，局数据模板等文档的参考。

1.2内部适用性说明

本规范是依据《中国移动设备通用安全基线规范》中配置类基线要求的基础上提

出的Oracle数据库安全基线配置规范，为便于比较，特作以下逐一比较及说明（在“采

纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增”、“不采纳”。

在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强

的要求。对于“不采纳”的情况，说明采纳的原因）。

基线编号

JX-TY-PZ-1-opt

JX-TY-PZ-2-opt

JX-TY-PZ-3-opt

JX-TY-PZ-4

JX-TY-PZ-5

JX-TY-PZ-6-opt

JX-TY-PZ-7-opt

JX-TY-PZ-9

账号

账号

口令

采纳意见

完全采纳

完全采纳

增强要求

完全采纳

完全采纳

完全采纳

完全采纳

完全采纳

新增

新增

新增

补充说明

JX-OSJK-PZ-1

JX-OSJK-PZ-2

JX-OSJK-PZ-3-opt

JX-OSJK-PZ-4

授权

授权

授权

JX-TY-PZ-12

JX-TY-PZ-13-opt

JX-TY-PZ-24-opt

日志

IP

IP

IP

IP

其他

其他

JX-TY-PZ-14-opt

JX-TY-PZ-16-opt

JX-TY-PZ-17-opt

JX-TY-PZ-19-opt

JX-TY-PZ-20-opt

新增

新增

新增

完全采纳

完全采纳

完全采纳

新增

新增

新增

新增

新增

新增

新增

不采纳

不采纳

不采纳

不采纳

不采纳

JX-OSJK-PZ-5

JX-OSJK-PZ-6-opt

JX-OSJK-PZ-7-opt

JX-OSJK-PZ-8-opt

JX-OSJK-PZ-9

JX-OSJK-PZ-10

JX-OSJK-PZ-11-opt

JX-OSJK-PZ-12-opt

JX-OSJK-PZ-13

JX-OSJK-PZ-17

系统不支持

不适用

不适用

不适用

不适用

1.3外部引用说明

1.4术语和定义

数据库角

是Oracle数据库中用来定义一组对象权限的集合。

数据库超级管理员(SYSDBA)

具有SYSDBA权限的用户可以启动和停止数据库。

用户的Profile

Oracle通过Profile功能来对数据库帐号的某些属性进行限制，比如CPU使

用率、每个用户的最大连接数、口令生存周期等。

数据库

是一个在服务器端运行的，用作监听客户端连接的进程。它来授权和建立客

户端与数据库服务器端的连接。

Oracle安全补丁

是由Oracle公司定期在其上发布的用作修补Oracle产品安全漏洞的

补丁集。

Oracle高级安全性

Oracle高级安全性提供了3个组件来满足隐私保护和法规遵守的需求：透明

的数据加密、网络加密和数据完整性以及强认证。

Oracle标签安全性(OLS)

Oracle标签安全性（OLS）通过把用户的安全性许可证与附加在数据行上的

数据分类标签进行对比，来提供现成可用的行级安全性。在Oracle身份管理

系统中可有效地管理整个企业的用户安全性许可证。

虚拟专用数据库

Oracle虚拟专用数据库（VPD）提供了可定制、基于政策的直至行一级的访

问控制，以管理数据安全性和隐私保护。各项政策被有计划地附加到数据库

的各个对象（表，视图）上，因而不管采用何种访问方法，政策都会得到执

行。这样就消除了应用安全性问题，并为数据的整合奠定了基础，保护了各

个数据集的分离性。

数据加密

Oracle数据加密特性为在介质上存储的数据提供了一个额外的保护层。现在，

你可以保护至关重要的数据，如信用卡号码，甚至是介质被盗了，你的数据

仍然是安全的。

BDUMP/UDUMP/CDUMP目录

是通过初始化参数background_dump_dest、core_dump_dest和user_dump_dest

来定义的Oracle数据库日志的输出目录。

1.5符号和缩略语

缩写

DBA

VPD

OLS

英文描述

DatabaseAdministrator

VirtualPrivateDatabase

OracleLabelSecurity

中文描述

数据库管理员

虚拟专用数据库

Oracle标签安全

2Oracle数据库（功能、配置）安全基线

（本部分应分大类逐条说明该类设备对应的功能基线或配置基线。对每大类

规范要求应依据下面的格式。）

2.1账号

基线编号

JX-OSJK-PZ-1

JX-OSJK-PZ-2

基线内容

限制具备数据库超级管理员(SYSDBA)权限的用户远程登录。

使用数据库角（ROLE）来管理对象的权限。

JX-OSJK-PZ-3-opt使用Profile功能对用户的属性进行控制，包括密码策略、资源限制等。

2.2口令

基线编号

JX-OSJK-PZ-4

基线内容

更改数据库默认帐号的密码。

2.3授权

基线编号

JX-OSJK-PZ-5

JX-OSJK-PZ-6-opt

JX-OSJK-PZ-7-opt

基线内容

启用数据字典保护，只有SYSDBA用户才能访问数据字典。

使用Oracle提供的虚拟私有数据库（VPD）和标签安全（OLS）来保

护不同用户之间的数据交叉访问。

使用Oracle提供的DataVault选件来限制有DBA权限的用户访问

敏感数据。

2.4日志

基线编号

JX-OSJK-PZ-8-opt

基线内容

根据业务要求制定数据库审计策略。

2.5IP

基线编号

JX-OSJK-PZ-9

JX-OSJK-PZ-10

JX-OSJK-PZ-11-opt

JX-OSJK-PZ-12-opt

基线内容

为数据库（LISTEER）的关闭和启动设置密码。

设置只有信任的IP地址才能通过访问数据库。

使用Oracle提供的高级安全选件来加密客户端与数据库之间或中间

件与数据库之间的网络传输数据。

在某些应用环境下可设置数据库连接超时，比如数据库将自动断开超

过10分钟的空闲远程连接。

2.6其他

基线编号

JX-OSJK-PZ-13

JX-OSJK-PZ-17

装用户。

Oracle软件账户的访问控制可遵循操作系统账户的安全策略，比如不

要共享账户、强制定期修改密码、密码需要有一定的复杂度等。

基线内容

限制在DBA组中的操作系统用户数量，通常DBA组中只有Oracle安

3编制历史

版本号

V1.0

修订日期

2007-4-10

修订人修订原因

房仲阳、王欣、确定框架

齐兵

V1.02007-4-15

房仲阳、王欣、结构调整、内容完善

齐兵

V1.02007-4-25

房仲阳、王欣、安全办公室内部讨论，进行修改完

齐兵善

V2.02007-5-10

房仲阳、王欣、集团安全基线讨论会议，分组讨论，

齐兵进行修改完善