一、数据库安全原则

　　1．只安装oracle必须的组件；

　　2．锁定并终止默认用户帐号；

　　3．改变默认用户密码；

　　4．激活数据字典保护（oracle9i默认具有此功能）；

　　5．根据实际情况给予最少的权限；

　　6．强制进行有效的访问控制（oracle9i默认具有此功能）；

　　7．限制操作系统访问；

　　8．限制网络访问；

　　9．安装所有的安全补丁；

　　二、具体安全加强措施 1．对默认用户进行锁定

　　在oracle安装过程中默认安装会有很多的默认用户，造成安全潜在问题，可以将其锁定，限制对数据库进行连接。

　　Oracle范例用户：HR,OE,PM,SH,QS_ADM,QS,QS_WS,QS_ES,QS_OS,QS_CBADM,QS_CB,QS_CS

　　只是用于oracle的范例，没有实际用处；

　　DBSNMP：负责运行Oracle系统的智能代理(Intelligent Agent)，实际中很少使用，几乎不使用；

　　OUTLN：用于存储Outlines，不使用时可锁定，使用时再打开；

　　MDSYS, ORDSYS, CTXSYS, ORDPLUGINS：用于支持oracle的Intermedia，默认锁定；

　　WMSYS：用于存储Oracle Workspace Manager的元数据信息，默认锁定；

　　ANONYMOUS：用于允许HTTP 访问Oracle XML DB；

　　XDB：用于存储Oracle XML DB数据和元数据；

　　此外还有一些系统自带的用户，不再列举，建议对除sys，system，rman，perfstat以外的系统自带用户进行锁定，减少安全隐患。

　　Sql：select username,account_status from dba_users;

　　alter user username account lock; 2．安装最新的安全补丁

　　安全公告和补丁位置如下：

　　http://otn.oracle.com/deploy/security/alerts.htm

　　3．密码管理机制

　　在Oracle，我们可以通过修改用户概要文件来设置密码的安全策略，可以自定义密码的复杂度。在概要文件中有以下参数是和密码安全有关系的：

　　FAILED_LOGIN_ATTEMPTS：最大错误登录次数

　　PASSWORD_GRACE_TIME：口令失效后锁定时间

　　PASSWORD_LIFE_TIME：口令有效时间

　　PASSWORD_LOCK_TIME：登录超过有效次数锁定时间

　　PASSWORD_REUSE_MAX：口令历史记录保留次数

　　PASSWORD_REUSE_TIME：口令历史记录保留时间

　　PASSWORD_VERIFY_FUNCTION：口令复杂度审计函数。

　　缺省这个安全策略是没有启用的。

　　启用安全策略：

　　以sys用户执行：SQL> @?/rdbms/admin/utlpwdmg.sql

　　设置举例：

　　CREATE PROFILE app_user2 LIMIT

　　FAILED_LOGIN_ATTEMPTS 5

　　PASSWORD_LIFE_TIME 60

　　PASSWORD_REUSE_TIME 60

　　PASSWORD_REUSE_MAX UNLIMITED

　　PASSWORD_VERIFY_FUNCTION verify_function

　　PASSWORD_LOCK_TIME 1/24

　　PASSWORD_GRACE_TIME 10;

　　4．资源管理机制

　　启用资源管理：

　　SQL> alter system set resource_limit=true;

　　设置举例：

　　CREATE PROFILE app_user LIMIT

　　SESSIONS_PER_USER UNLIMITED

　　CPU_PER_SESSION UNLIMITED

　　CPU_PER_CALL 3000

　　CONNECT_TIME 45

　　LOGICAL_READS_PER_SESSION DEFAULT

　　LOGICAL_READS_PER_CALL 1000

　　PRIVATE_SGA 15K

　　COMPOSITE_LIMIT 5000000；