中国移动Oracle数据库安全配置基线规范资料

Oracle数据库系统平安配置基线中国移动通信管理信息系统部2021年 4月备注：1.假设此文档需要日后更新，请创立人填写版本控制表格，否那么删除版本控制表格。

目录第1章概述 (4)目的 (4)适用范围 (4)适用版本 (4)实施 (4)例外条款 (4)第2章帐号 (5)帐号平安 (5)删除不必要帐号* (5)限制超级管理员远程登录* (5)用户属性控制 (6)数据字典访问权限 (6)TNS登录IP限制* (7)第3章口令 (8)口令平安 (8)帐号口令的生存期 (8)重复口令使用 (8)认证控制* (9)更改默认帐号密码 (9)密码更改策略 (10)密码复杂度策略 (10)第4章日志 (12)日志审计 (12)数据库审计谋略* (12)第5章其他 (13)其他配置 (13)设置监听器密码 (13)加密数据* (13)第6章评审与修订 (14)第1章概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的ORACLE数据库系统应当遵循的数据库平安性设置标准，本文档旨在指导数据库管理人员进展ORACLE数据库系统的平安配置。

1.2 适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络平安管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的ORACLE数据库系统。

1.3 适用版本ORACLE数据库系统。

1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中假设有任何疑问或建议，应及时反应。

本标准发布之日起生效。

1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信管理信息系统部进展审批备案。

第2章帐号2.1 帐号平安2.1.1删除不必要帐号*2.1.2限制超级管理员远程登录*2.1.3用户属性控制2.1.4数据字典访问权限2.1.5TNS登录IP限制*第3章口令3.1 口令平安3.1.1帐号口令的生存期3.1.2重复口令使用3.1.3认证控制*3.1.4更改默认帐号密码3.1.5密码更改策略3.1.6密码复杂度策略第4章日志4.1 日志审计4.1.1数据库审计谋略*第5章其他5.1 其他配置5.1.1设置监听器密码5.1.2加密数据*第6章评审与修订本标准由中国移动通信管理信息系统部定期进展审查，根据审视结果修订标准，并颁发执行。

profile and dba users . account status二'OPEN' and
resource 且拥e二'PASSWORD GRACE TIME'
基线符合性 判定依据 加固方案
查询结果中 PASSWORD GRACE TlME 小子等于 70 设置 PASSWORD_GRACE_TIME 小子等于 7
3)
将返回结果不必需的账号列表对比，如发现无关账号.表明不符
合安全要求 E 根据列表只保留必需!账号.结合实际情况锁定(或删除)无关账
号Q
锁定账号
删除账号
al ter
user <username> account lock;
dtop ilser 勺lsern础l e) cascad已 1
风险等级
高
1. 1 .2 眼制超级管理员远程登录
第 l 页共 6 页
ORACLE 安全配置基线
基线符合性 判定依据
07 DICTIONARY ACCESSIBILITYE Show parameter 07_DICTIONARY_ACCESSIBILITY 参数 07 DICTIONARY ACCESSIBILITY 是否设置为 FAL乒E
Ð7_DICTIONARY_ACCESSIBILITY 二 FAlβE 则表明符合安全要求。
风险等级
备注
高
密码过期后 7 天内不修改密码，密码将失效
1. 1. 7 口令复杂度策略
对于采用静态口令进行认证的数据库，口令长度至少 B 位，并包括数
安全基线项说明
字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次以内不 得设置相同的口令。密码应至少每 90 天进行更换 。 以 Oracle 用户登陆到系统中;

Oracle数据库安全配置基线
简介
本文档旨在提供Oracle数据库的安全配置基线指南，以帮助确保数据库的安全性。

通过按照以下步骤进行配置，可以减少潜在的安全威胁和风险。

配置步骤
以下是Oracle数据库安全配置的基线步骤：
1. 安装最新的数据库补丁：确保在安装数据库之前，先安装最新的补丁程序，以修复已知的安全漏洞。

2. 禁用默认的系统帐户：在部署数据库之前，禁用默认的系统帐户（如SYSTEM、SYS、SYSMAN等），并创建自定义的管理员帐户。

3. 启用密码复杂性检查：使用强密码策略，确保数据库用户的密码具备足够的复杂性和强度。

4. 实施账户锁定策略：设置账户锁定策略，限制登录失败的次数，以防止暴力。

5. 限制数据库访问权限：核实数据库用户的访问权限，仅赋予他们所需的最低权限，以限制潜在的恶意操作。

6. 启用审计功能：启用Oracle数据库的审计功能，记录和监控数据库的所有活动，便于发现潜在的安全威胁。

7. 启用网络加密：使用SSL/TLS等加密协议，确保数据库与客户端之间的通信是安全和加密的。

8. 实施备份和恢复策略：定期备份数据库，并测试恢复过程，以防止数据丢失和灾难恢复。

9. 定期审查和更新安全配置：定期审查数据库的安全配置，并根据最新的安全标准和最佳实践的推荐，更新配置以提高安全性。

总结
通过遵循以上基线配置步骤，可以帮助提高Oracle数据库的安全性。

然而，在实际应用中，还应根据具体情况进行定制化的安全配置，并持续关注新的安全威胁和漏洞，及时进行更新和升级。

Oracle数据库安全基线目录1.1.Oracle 数据库系统安全基线配置规范............... 错误!未定义书签。

1.1.1.Linux版本...................................... 错误!未定义书签。

1.1.1.1.删除无用帐号.................................... 错误!未定义书签。

1.1.1.2.默认帐号修改口令................................ 错误!未定义书签。

1.1.1.3.限制数据库SYSDBA帐号........................... 错误!未定义书签。

1.1.1.4.口令策略........................................ 错误!未定义书签。

1.1.1.5.帐号锁定策略.................................... 错误!未定义书签。

1.1.1.6.用户权限最小化.................................. 错误!未定义书签。

1.1.1.7.public权限..................................... 错误!未定义书签。

1.1.1.8.数据库角色管理.................................. 错误!未定义书签。

1.1.1.9.启用日志审计.................................... 错误!未定义书签。

1.1.1.10.日志记录及保存.................................. 错误!未定义书签。

1.1.1.11.日志文件保护.................................... 错误!未定义书签。

1.1.1.12.开启监听器日志.................................. 错误!未定义书签。

编号
ELK-Oracle-01-01-03
名称
限制超级管理员远程登录
实施目的
限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。。
问题影响
允许数据库超级管理员远程非法登陆
系统当前状态
查看spfile,sqlnet.ora内容
实施步骤
1、参考配置操作
在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用SYSDBA角色的自动登录。
示例:
SQL>CREATE OR REPLACE FUNCTION my_password_verify (username VARCHAR2 ,password VARCHAR2 ,old_password VARCHAR2 ) RETURN BOOLEAN IS
2 BEGIN
3 IF LENGTH(password) < 6 THEN
实施风险
高
重要等级
★
备注
1.1.5
编号
ELK-Oracle-01-01-05
名称
数据库角色
实施目的
使用数据库角色（ROLE）来管理对象的权限。
问题影响
账号管理混乱
系统当前状态
select * from dba_role_privs;
select * from user_role_privs;
记录用户拥有的role
实施风险
低
重要等级
★★★
备注
1.2.2
编号
ELK-Oracle-01-02-02

XX公司Oracle数据库安全配置标准（试行）1 目的为保证公司应用系统的信息安全，规范数据库层面的安全配置操作，制定本标准。

2 范围本标准适用于公司各个业务系统中使用的Oracle 10g及以上数据库系统。

3 安全配置标准3.1安装数据库的主机要求●主机应当专门用于数据库的安装和使用；●数据库主机避免安装在域控制器上；●硬件要求请参考Oracle 10g及以上各发行版自带的发行说明；●主机操作系统层面应当保证安全：Oracle数据库可以安装在Windows Server,Linux,及各类Unix系统上，数据库软件安装之前，应当保证主机操作系统层面的安全，需要对主机进行安全设置，补丁更新，防病毒软件安装等。

3.2数据库补丁安装标准日常运行维护中如果Oracle推出新的补丁，则应按照《基础平台运维管理办法》的相关规定，在进行评估、验证之后，升级相关补丁。

3.3数据库口令安全配置标准3.3.1 密码复杂性配置要求1.密码长度至少为8位2.必须为DBA帐户和普通帐户提供复杂的口令，需要包含以下字符：⏹英语大写字母 A, B, C, … Z⏹英语小写字母 a, b, c, … z⏹西方阿拉伯数字 0, 1, 2, (9)⏹非字母数字字符，如标点符号，@, #, $, %, &, *等⏹为用户建profile，调整PASSWORD_VERIFY_FUNCTION，对密码负载度进行设置：3.3.2 创建应用账号并授权创建用户：SQL>create user username identified by password;基本授权：SQL>grant connect,resource to username;创建表空间：SQL>create tablespace tablespace_name datafile ‘/home/oracle/tablespace_name.dbf’size 500m;用户与表空间对应：SQL>alter user username default tablespace tablespace_name;3.3.3 禁用不必要的数据库帐户针对每个数据库里的数据库帐号，确保没有测试帐号和无用的帐号存在。

Oracle数据库安全配置规范Oracle数据库安全配置规范1.概述1.1. 目的本规范明确了Oracle数据库安全配置方面的基本要求。

为了提高Oracle数据库的安全性而提出的。

1.2. 范围本规范适用于XXXX使用的Oracle数据库版本。

2.配置标准2.1. 帐号管理及认证授权2.1.1.按照用户分配帐号【目的】应按照用户分配账号，避免不同用户间共享账号。

【具体配置】create user abc1 identified by password1;create user abc2 identified by password2;建立role，并给role授权，把role赋给不同的用户删除无关帐号2.1.2.删除无用帐号【目的】应删除或锁定与数据库运行、维护等工作无关的账号。

【具体配置】alter user username lock;drop user username cascade;2.1.3.限制DBA远程登录【目的】限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。

【具体配置】1. 在spfile中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止SYSDBA用户从远程登陆。

2. 在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用 SYSDBA 角色的自动登录。

【检测操作】1. 以Oracle用户登陆到系统中。

2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。

3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。

Show parameter REMOTE_LOGIN_PASSWORDFILE4. 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。

基线安全
分类项 1 2 3 4 5 6 7
8
9 10 11 12 13
中国移动思科路由交换设备基线安全规范
Cisco路由交换 限制管理员账户直接登录
分类项 14
Cisco路由交换 非必要功能禁用
配置账户所需最的ACL，过滤掉业务无关协议，端口 使用ssh协议进行维护
账号、口令、授权、认证
• 日志配置要求 • IP协议安全配置要求
• 基本协议安全、路由协议安全、snmp协议安全、MPLS安全
• 设备其他安全配置要求
关闭未使用的端口、修改路由器缺省banner值、配置定时账户自动 退出、配置console口密码保护、关闭不必要的网络服务或功能、
PPT文档演模板
中国移动安全基线
MSSQL数据库 不同用户分配不同账号
删除无关账号 配置账户最小权限 使用数据库角色来管理对象权限 检查弱口令/空口令账户 配置日志功能，记录账户登录事件 配置日志功能，记录与数据库相关的安全事件 （一般默认满 足要求） 删除不必要的存储过程 使用通信协议加密 安装最新补丁包
PPT文档演模板
中国移动安全基线
不同用户分配不同组 （可选）
21 主机访问控制 （可选）
用户口令复杂度策略
22 禁止ICMP重定向，采用静态路由 （可选）
口令生存周期
23 禁止ip转发 （可选）
限制口令重复次数 （可选）
24 设置登录超时 （可选）
口令锁定策略
（可选）
25 设置屏幕锁定 （可选）
passwd shadow group 文件授权
PPT文档演模板
中国移动安全基线
基线安全
• 中国移动Windows系统安全配置要求

le数据rac库动中国移O 配置安全基线规范Title{英文黑体四号}版本号：2.０.０{黑体小四}施实╳╳-╳发╳╳-╳╳╳╳╳-╳布╳-╳╳╳╳中国移动设备（功能、配置）安全基线规范（模版）目录....................................................................................................................................................................... 1.概述1....................................................................................................................................................... 1.适用范围1.1........................................................................................................................................... 1 .1.2内部适用性说明............................................................................................................................................... 2 1.3.外部引用说明................................................................................................................................................... 2 1.4.术语和定义............................................................................................................................................... 4.1.5符号和缩略语...................................................................................................... 4 ORACLE2数据库（功能、配置）安全基线............................................................................................................................................................... 42.1账号............................................................................................................................................................... 5口令2.2............................................................................................................................................................... 52.3授权............................................................................................................................................................... 52.4日志................................................................................................................................................................... 52.5IP (6)其他2.6............................................................................................................................................................... 6 3编制历史.中国移动设备（功能、配置）安全基线规范（模版）前言本标准由中国移动通信有限公司网络部提出并归口。

中国移动O r a c l e数据库安全配置规范S p e c i f i c a t i o n f o r O r a c l e D a t a b a s eC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：V.1.0.0网络与信息安全规范编号:【网络与信息安全规范】·【第二层：技术规范·网元类】·【第2501号】2007-12-01发布2008-01-02实施中国移动通信集团公司发布目录1概述 (4)1.1适用围 (4)1.2部适用性说明 (4)1.3外部引用说明 (5)1.4术语和定义 (5)1.5符号和缩略语 (5)2ORACLE安全配置要求 (5)2.1账号 (6)2.2口令 (10)2.3日志 (14)2.4其他 (17)前言本标准由中国移动通信网络部提出并归口。

本标准由标准提出并归口部门负责解释。

本标准起草单位：中国移动通信网络部本标准解释单位：同提出单位本标准主要起草人：中国移动通信集团公司房仲阳中国移动集团公司敏时1概述1.1适用围本规适用于中国移动通信网、业务系统和支撑系统的Oracle数据库。

本规明确了Oracle数据库安全配置方面的基本要求。

1.2部适用性说明本规是在《中国移动设备通用设备安全功能和配置规》（以下简称《通用规》）各项设备配置要求的基础上，提出的Oracle数据库安全配置规。

以下分项列出本规对《通用规》设备配置要求的修订情况。

本规新增的安全配置要求，如下：安全要求-设备-ORACLE-配置-3安全要求-设备-ORACLE-配置-9安全要求-设备-ORACLE-配置-10-可选安全要求-设备-ORACLE-配置-11安全要求-设备-ORACLE-配置-12安全要求-设备-ORACLE-配置-13安全要求-设备-ORACLE-配置-14-可选安全要求-设备-ORACLE-配置-15-可选安全要求-设备-ORACLE-配置-19-可选安全要求-设备-ORACLE-配置-20安全要求-设备-ORACLE-配置-21安全要求-设备-ORACLE-配置-22-可选安全要求-设备-ORACLE-配置-23-可选安全要求-设备-ORACLE-配置-241.3外部引用说明《中国移动通用安全功能和配置规》1.4术语和定义1.5符号和缩略语2ORACLE安全配置要求本规所指的设备为ORACLE数据库。

3.1.3认证控制4
3.1.4更改默认密码5
3.1.5密码更改策略5
3.1.6密码复杂度策略6
第4章日志7
4.1日志审计7
4.1.1数据库审计策略7
第5章其他8
5.1其他配置8
5.1.1设置监听器密码8
5.1.2加密数据8
第6章持续改进9
第
1.1
本文规定了Oracle数据库应当遵循的安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行Oracle数据库的安全合规性检查和配置。
1.2
本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。
本配置标准适用的围包括：Oracle数据库服务器。
1.3
适用于Oracle 10g。
第
2.1
2.1.1
安全基线项目名称
数据库管理系统Oracle删除不必要安全基线要求项
安全基线项说明
应删除或锁定与数据库运行、维护等工作无关的账号。
Oracle数据库安全配置基线
第1章概述1
1.1目的1
1.2适用围1
1.3适用版本1
第2章账号1
2.1账号安全1
2.1.1删除不必要账号1
2.1.2限制超级管理员远程登录2
2.1.3用户属性控制2
2.1.4数据字典访问权限3
第3章口令3
3.1口令安全3
3.1.1账户口令的生存期3
3.1.2重复口令使用4
检测操作步骤
1. 以Oracle用户登陆到系统中；
2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中；
3.使用show parameter命令检查参数O7_DICTIONARY_ACCESSIBILITY。

Oracle数据库安全配置基线加固操作指导书佛山供电局信息中心2014年4月目录1.1 Oracle数据库安全配置基线 (2)1.1.1 确保数据库多余用户已锁定 (2)1.1.2 口令加密 (3)1.1.3 数据库SYSDBA帐号登录控制 (3)1.1.4 口令应有复杂度要求 (5)1.1.5 应启用登录失败处理功能 (9)1.1.6 网络通信加密 (10)1.1.7 应对数据库主机管理员帐号进行控制 (10)1.1.8 依据安全策略控制用户对资源的访问 (12)1.1.9 实现管理用户的权限分离 (13)1.1.10 应对数据库数据字典保护 (14)1.1.11 确保安全审计配置符合安全审计策略的要求 (15)1.1.12 应保护审计记录避免受到破坏 (17)1.1.13 数据库系统应遵循最小安装的原则 (17)1.1.14 应设置监听口令 (17)1.1.15 应设置监听服务空闲连接超时时间 (19)1.1 Oracle数据库安全配置基线1.1.1 确保数据库多余用户已锁定利用sqlplus登录进oracle数据库执行下列语句查看所有用户：select * from all_users;1.1.2 口令加密1.1.3 数据库SYSDBA帐号登录控制1、远程登录利用sqlplus登录进oracle数据库使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE确保设置为NONE。

执行语句：Show parameter REMOTE_LOGIN_PASSWORDFILE;2、自动登录在服务器上查找 SQLNET.ORA 文件，一般是$ORACLE_HOME/network/admin 目录中，不过有时路径会不一样（按实际情况查找，直接采用搜索功能也可）。

查看该文件SQLNET.AUTHENTICATION_SERVICES的值，确保为none1、远程登录2、自动登录在$ORACLE_HOME\network\admin目录下的Sqlnet.ora文件中设置SQLNET.AUTHENTICATION_SERVICES=(NONE)1.1.4 口令应有复杂度要求1.1.5 应启用登录失败处理功能利用sqlplus登录进oracle数据库。

Oracle数据库安全配置基线目录第1章概括.................................................. (1)目的.............................................. (1)合用范围.............................................. (1)合用版本.............................................. (1)第2章账号.................................................. (1)账号安全.............................................. (1)删除不用要账号 (1)限制超级管理员远程登录 (2)用户属性控制.............................................3数据词典接见权限 (3)第3章口令.................................................. (4)口令安全.............................................. (4)账户口令的生计期 (4)重复口令使用.............................................5认证控制 (6)改正默认帐户密码 (7)密码改正策略 (8)密码复杂度策略 (8)第4章日记 (9)日记审计 (9)数据库审计谋略 (9)第5章其余 (11)其余配置 (11)设置监听器密码 (11)加密数据 (11)第6章连续改良 (12)第1章概括目的本文规定了Oracle数据库应该按照的安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行Oracle数据库的安全合规性检查和配置。

Oracle数据库系统安全配置基线中国移动通信有限公司管理信息系统部2012年 4月版本版本控制信息更新日期更新人审批人V1.0 创建2009年1月V2.0 更新2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号 (5)2.1帐号安全 (5)2.1.1删除不必要帐号* (5)2.1.2限制超级管理员远程登录* (5)2.1.3用户属性控制 (6)2.1.4数据字典访问权限 (6)2.1.5TNS登录IP限制* (7)第3章口令 (8)3.1口令安全 (8)3.1.1帐号口令的生存期 (8)3.1.2重复口令使用 (8)3.1.3认证控制* (9)3.1.4更改默认帐号密码 (9)3.1.5密码更改策略 (10)3.1.6密码复杂度策略 (10)第4章日志 (12)4.1日志审计 (12)4.1.1数据库审计策略* (12)第5章其他 (13)5.1其他配置 (13)5.1.1设置监听器密码 (13)5.1.2加密数据* (13)第6章评审与修订 (14)第1章概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的ORACLE数据库系统应当遵循的数据库安全性设置标准，本文档旨在指导数据库管理人员进行ORACLE数据库系统的安全配置。

1.2 适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的ORACLE数据库系统。

1.3 适用版本ORACLE数据库系统。

1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

密级：文档编号：项目代号：中国移动Oracle数据库安全配置手册Version 1.0中国移动通信有限公司二零零四年十一月拟制: 审核: 批准: 会签: 标准化:版本控制分发控制目录第一章目的与范围 (1)1.1目的 (1)适用范围 (1)数据库类型 (1)第二章数据库安全规范 (1)2.1操作系统安全 (1)2.2帐户安全 (2)密码安全 (2)2.4访问权限安全 (2)2.5日志记录 (3)2.6加密 (3)2.7管理员客户端安全 (3)2.8安全补丁 (3)2.9审计 (3)第三章数据库安全配置手册 (4)3.1O RACLE数据库安全配置方法 (4)3.1.1 基本漏洞加固方法 (4)3.1.2 特定漏洞加固方法 (12)第四章附录：数据库安全问题及解决方案 (16)4.1数据库安全问题 (16)4.1.1 数据安全基本需求 (17)4.1.2 数据安全风险 (19)4.1.3 业界采用的安全技术 (21)Oracle9i的安全解决之道 (21)4.2O RACLE9I 安全解决方案–提供端到端的安全体系结构 (23)4.2.1 Oracle9i Database 安全机制 (23)4.2.2 托管环境的安全 (26)4.2.3 网络中的安全——基于标准的公共密钥体系结构(PKI) (27)4.2.4 先进的用户和安全策略管理 (29)第一章目的与范围1.1 目的为了加强中国移动集团下属各公司的网络系统安全管理，全面提高中国移动集团下属各公司业务网和办公网的网络安全水平，保证网络通信畅通和信息系统的正常运营，提高网络服务质量，特制定本方法。

本文档旨在于规范中国移动集团下属各公司对Oracle数据库进行的安全加固。

适用范围本手册适用于对中国移动集团下属各公司业务网和办公网系统的数据库系统加固进行指导。

数据库类型数据库类型为Oracle9i Enterprise Edition。

第二章数据库安全规范2.1 操作系统安全要使数据库安全，首先要使其所在的平台和网络安全。

oracle数据库安装及配置规范voracle数据库安装及配置规范-v.————————————————————————————————作者：————————————————————————————————日期：Oracle数据库系统安装及配置规范2015-10目录1.数据库物理设计原则 (5)1.1.数据库环境配置原则51.1.1.操作系统环境51.1.2.内存要求51.1.3.交换区设计51.1.4.其他61.2.数据库设计原则61.2.1.数据库SID61.2.2.数据库全局名61.2.3.数据库类型选择61.2.4.数据库连接类型选择1.2.5.数据库SGA配置71.2.6.数据库字符集选择81.2.7.数据库其他参数配置91.2.8.数据库控制文件配置91.2.9.数据库日志文件配置101.2.10.数据库回滚段配置101.2.11.数据库临时段表空间配置111.2.12.数据库系统表空间配置111.3.数据库表空间设计原则111.3.1.表空间大小定义原则111.3.2.表空间扩展性设计原则121.4.裸设备的使用122.数据库逻辑设计原则 (13) 2.1.命名规范132.1.1.表属性规范2.1.2.索引142.1.3.视图152.1.4.实体化视图152.1.5.存储过程152.1.6.触发器152.1.7.函数162.1.8.数据包162.1.9.序列162.1.10.表空间162.1.11.数据文件162.1.12.普通变量162.1.13.游标变量172.1.14.记录型变量172.1.15.表类型变量2.1.16.数据库链172.2.命名172.2.1.语言172.2.2.大小写182.2.3.单词分隔182.2.4.保留字182.2.5.命名长度182.2.6.字段名称182.3.数据类型182.3.1.字符型182.3.2.数字型192.3.3.日期和时间192.3.4.大字段192.3.5.唯一键192.4.设计202.4.1.范式202.4.2.表设计202.4.3.索引设计232.4.4.视图设计242.4.5.包设计242.4.6.安全性设计252.5.SQL编写262.5.1.字符类型数据262.5.2.复杂sql272.5.3.高效性272.5.4.健壮性282.5.5.安全性292.5.6.完整性303.备份恢复设计原则 (30) 3.1.数据库exp/imp备份恢复303.1.1.数据库级备份原则303.1.2.用户级备份原则303.1.3.表级备份原则313.2.数据库冷备份原则313.3.Rman备份恢复原则313.3.1.Catalog数据库313.3.2.Archive Log333.3.3.全备份策略333.3.4.增量备份策略333.3.5.恢复原则333.4.备用数据库原则343.5.一些小经验343.6.系统调优知识353.6.1.生成状态报表（statspack的使用）353.6.2.sql追踪363.6.3.内存调整373.6.4.排序的优化403.6.5.统计信息414.设计工具 (42)1.数据库物理设计原则1.1.数据库环境配置原则1.1.1.操作系统环境对于中小型数据库系统，采用linux操作系统比较合适，对于数据库冗余要求负载均衡能力要求较高的系统，可以采用Oracle10gRAC 的集群数据库的方法，集群节点数范围在2—64个。

精编【安全管理】中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳╳╳╳版本号：1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录1概述 (4)1.1目标和适用范围 (4)1.2引用标准 (4)1.3术语和定义 (4)2安全基线框架 (5)2.1背景 (5)2.2安全基线制定的方法论 (6)2.3安全基线框架说明 (6)3安全基线范围及内容 (7)3.1覆盖范围 (7)3.2安全基线组织及内容 (8)3.2.1 安全基线编号说明 (9)3.2.2 Web应用安全基线示例 (9)3.2.3 中间件、数据库、主机及设备示例 (9)3.3安全基线使用要求 (10)4评审与修订 (10)1概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS 199 《联邦信息和信息系统安全分类标准》◆FIPS 200 《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。