|
知识路径: > 数据库系统安全 > Oracle数据库安全分析与防护 > Oracle 安全最佳实践 >
|
相关知识点:3个
|
|
|
|
(1)增强Oracle数据库服务器的操作系统安全。最小化系统服务,安装最新补丁,关闭不需要的网络通信端口。
|
|
|
(2)最小化安装Oracle,删除不必要的组件。采用满足需求的最小安装,随着版本的不断升级,Oracle的功能也越来越多,整个系统越来越复杂,因此安全威胁也越来越大。根据需求只安装所需内容,可以降低数据库安全风险。
|
|
|
(3)安装最新的安全补丁。Oracle的安全漏洞还是非常多的,一个比较安全的办法是时刻关注Oracle的安全公告,并及时安装安全补丁。
|
|
|
(4)删除或修改默认的用户名和密码。Oracle的默认安装会建立很多默认的用户名和密码,而大部分的数据库管理员都不清楚到底有多少数据库用户,从而留下了很大的安全隐患。
|
|
|
(5)启用认证机制。Oracle支持多种认证方式,为了安全,必须启用认证机制,防止非法用户访问数据库。
|
|
|
(6)设置好的口令密码策略。在Oracle中,可以通过修改用户概要文件来设置密码的安全策略,可以自定义密码的复杂度。其中,概要文件设置了多项密码安全策略,如最大错误登录次数、口令失效锁定时间、口令有效时间、口令复杂检查等。
|
|
|
(7)设置最小化权限。采用最小授权原则,给用户尽量少的权限。撤销Public组的一些不必要的权限,严格限制以下程序包的权限:
|
|
|
. UTL_FILE:该程序包允许Oracle用户读取服务器上的文件。如果设置错误,可能会得到任何文件。
|
|
|
. UTL_HTTP:该程序包允许Oracle用户通过HTTP访问外部资源,包括恶意的Web代码和文件。
|
|
|
. UTL_TCP:该程序包允许Oracle通过TCP建立连接,从而从网络上得到可执行文件。
|
|
|
. UTL_SMTP:该程序包允许Oracle通过SMTP方式进行通信,从而转发关键文件。
|
|
|
(8)限制连接Oracle的IP地址。由于Oracle的TNS监听器有许多安全漏洞,其中的一些漏洞甚至能让入侵者得到操作系统的超级用户权限,或者能修改数据库中的数据。因此,在打补丁的同时限制连接的IP,避免攻击者的IP访问到数据库。
|
|
|
(9)传输加密。Oracle采用的是TNS协议传输数据,在传输过程中不能保证其中的数据不被窃听乃至修改,因此最好对传输进行加密。例如,采用SSL加密机制。
|
|
|
(10)启用Oracle审计。记录所有的用户失败访问和分析安全事件日志。加强数据库日志的记录,特别是审核数据库登录“失败”事件,定期查看Oracle日志,检查是否有可疑的登录事件发生。
|
|
|
(11)定期查看Oracle漏洞发布信息,及时修补漏洞。Oracle漏洞公布网址有Oracle厂商自身、应急响应部门、安全专业服务公司等。
|
|
|
(12)实施Oracle灾备计划。监测Oracle的安全运行,定期对数据库数据进行备份。针对Oracle的可能安全事件,制定安全应急预案。
|
|
|