文档介绍：Q/ZD
浙江省电力公司企业标准
编号:Q/×××
————————————————————————————
XXX Oracle数据库安全加固方案
2014年11月19日
2010-*-* 发布 2010-*-* 实施
————————————————————————————————————
浙江省电力公司发布
前言
为规范Oracle数据库安全加固操作,全面系统地降低Oracle数据库面临的风险,及时堵塞漏洞,提高安全防护能力,特制订《XXX Oracle数据库安全加固方案》。
本方案适用于Oracle数据库安全加固工作要求。
本方案由XXX负责起草设计。
本方案主要起草人:XXX。
目录
1. 适用范围 5
2. 方案实施准备 5
准备工作 5
危险点分析及预控措施 6
3. 方案实施流程 7
4. 方案实施程序及标准 8
5. 方案实施操作记录 15
XXX Oracle数据库安全加固方案
适用范围
本方案适用于XXX Oracle 8i、10g数据库安全加固。
方案实施准备
准备工作
序号
内容
标准
1
核实Oracle数据库安全加固操作申请
熟悉本次方案实施的内容和操作
2
填写、核实工作操作内容
填写工作操作内容,并经相关责任人书面认可
3
获知本次操作所需的信息
获知Oracle数据库主机的地址、用户名和密码
获知Oracle数据库sys和system用户的密码
危险点分析及预控措施
序号
危险点
防范措施
1
修改帐号权限时,造成权限过大或过小
以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限
2
删除或禁止有用的服务、组件等
对无用的服务、组件进行排查,并和应用系统厂商进行确认
3
增加网络访问控制,对应用系统造成影响
操作前和业务部门、应用系统厂商进行确认并做好测试工作
方案实施流程
方案实施程序及标准
序号
工作内容
操作方法及标准
安全措施及注意事项
登录系统
1
通过管理主机登录Oracle数据库主机
通过ssh或vnc或RDP登录Oracle数据库主机,输入用户名密码
注意用户名、密码的保密
2
登录Oracle数据库
以sys用户的身份登录Oracle数据库,默认:
sqlplus / as sysdba(10g)或sqlplus username/password(8i)
帐号权限加固
3
限制应用用户在数据库中的权限,尽量保证最小化,避免授予了DBA权限

SQL>SELECT * FROM dba_sys_privs WHERE grantee=<username>; -- 系统权限
SQL>SELECT * FROM dba_tab_privs WHERE grantee=<username>; -- 对象权限
SQL>SELECT * FROM dba_role_privs WHERE grantee=<username>; --赋予的角色
(例如收回select any table权限)
SQL>REVOKE select any table FROM <username>;
收回应用用户的DBA角色
SQL>REVOKE dba FROM <username>;
避免分配权限过大或过小
4
撤消public角色的程序包执行权限

SQL>SELECT table_name FROM dba_tab_privs WHERE grantee='PUBLIC' and privilege='EXECUTE';
(例如撤销在utl_file包上的执行权限)
SQL>REVOKE execute ON utl_file FROM public;
Oracle官方建议撤销public角色对utl_file、utl_http、utl_tcp、utl_smtp、dbms_random
程序包的执行权限。
5
修改系统帐户的默认口令(特别是管理员角色类帐户)锁定所有不需要的用户

SQL>ALTER USER sys IDENTIFIED BY <newpasswd>;
SQL>ALTER USER system IDENTIFIED BY <newpasswd>;

SQL>ALTER USER <username> ACCOUNT LOCK;
6
删除系统中多余的自建帐号