印刻数据库

外观

Oracle 密码策略管理

密码策略的概念

密码策略是一组规则,用于确保用户密码的安全性和复杂性,防止未授权访问。有效的密码策略可以显著提高数据库的安全性,减少密码被破解的风险。

密码策略的重要性

  • 防止暴力破解攻击
  • 减少密码猜测的可能性
  • 提高账户安全性
  • 符合合规性要求
  • 保护敏感数据

密码策略的组成部分

  • 密码复杂度要求
  • 密码长度要求
  • 密码过期设置
  • 密码历史记录
  • 账户锁定策略
  • 密码验证函数

密码复杂度要求

标准密码复杂度

  • 至少包含一个大写字母
  • 至少包含一个小写字母
  • 至少包含一个数字
  • 至少包含一个特殊字符
  • 避免使用常见密码

Oracle 密码验证函数

  • ORA12C_STRONG_VERIFIER:Oracle 12c 及以上版本的强验证函数
  • ORA12C_VERIFIER:Oracle 12c 及以上版本的标准验证函数
  • VERIFY_FUNCTION_11G:Oracle 11g 的验证函数
  • 自定义密码验证函数

密码复杂度配置

  • 启用密码验证函数:ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION ORA12C_STRONG_VERIFIER;
  • 检查密码验证函数状态:SELECT profile, resource_name, limit FROM dba_profiles WHERE resource_name = 'PASSWORD_VERIFY_FUNCTION';

密码长度和过期设置

密码长度要求

  • 最小密码长度:ALTER PROFILE DEFAULT LIMIT PASSWORD_MIN_LENGTH 8;
  • 推荐密码长度:12-16 个字符
  • 最大密码长度:由 Oracle 版本决定

密码过期设置

  • 密码生命周期:ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME 90;
  • 密码警告期:ALTER PROFILE DEFAULT LIMIT PASSWORD_WARNING 7;
  • 密码宽限期:ALTER PROFILE DEFAULT LIMIT PASSWORD_GRACE_TIME 3;
  • 永不过期:ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME UNLIMITED;

密码过期处理

  • 密码过期前警告:用户登录时收到密码即将过期的警告
  • 密码过期后处理:用户必须修改密码才能继续登录
  • 密码宽限期:在宽限期内,用户可以继续使用过期密码
  • 密码过期后的锁定:超过宽限期后,账户可能被锁定

密码历史记录

密码历史设置

  • 密码历史记录数量:ALTER PROFILE DEFAULT LIMIT PASSWORD_REUSE_MAX 10;
  • 密码重用时间:ALTER PROFILE DEFAULT LIMIT PASSWORD_REUSE_TIME 365;
  • 防止密码重用:结合使用 PASSWORD_REUSE_MAXPASSWORD_REUSE_TIME

密码历史验证

  • 检查密码历史设置:SELECT profile, resource_name, limit FROM dba_profiles WHERE resource_name LIKE 'PASSWORD_REUSE%';
  • 验证密码历史功能:尝试重用旧密码,系统应拒绝

账户锁定策略

失败登录尝试

  • 最大失败登录尝试次数:ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 5;
  • 账户锁定时间:ALTER PROFILE DEFAULT LIMIT PASSWORD_LOCK_TIME 1;
  • 永久锁定:ALTER PROFILE DEFAULT LIMIT PASSWORD_LOCK_TIME UNLIMITED;

账户锁定处理

  • 自动解锁:达到锁定时间后自动解锁
  • 手动解锁:ALTER USER user_name ACCOUNT UNLOCK;
  • 检查账户状态:SELECT username, account_status FROM dba_users;
  • 锁定原因分析:检查审计日志,识别可能的攻击

账户锁定监控

  • 监控账户锁定事件:AUDIT SESSION BY ACCESS;
  • 查看锁定记录:SELECT * FROM dba_audit_session WHERE returncode != 0;
  • 定期检查锁定账户:SELECT username, account_status, lock_date FROM dba_users WHERE account_status LIKE '%LOCKED%';

密码管理最佳实践

密码策略设计

  • 基于安全需求设计密码策略
  • 不同角色使用不同的密码策略
  • 定期评估和更新密码策略
  • 确保密码策略符合合规要求

密码管理流程

  • 密码创建:使用密码生成器创建强密码
  • 密码存储:安全存储密码,避免明文存储
  • 密码分发:安全分发初始密码
  • 密码修改:定期修改密码,避免使用旧密码
  • 密码重置:建立密码重置流程,验证用户身份

密码安全教育

  • 培训用户了解密码安全重要性
  • 提供密码创建指南
  • 警告用户不要共享密码
  • 指导用户识别钓鱼攻击

密码管理工具

  • Oracle Enterprise Manager
  • 第三方密码管理工具
  • 密码重置自助服务
  • 集中式身份管理系统

特殊账户密码管理

管理员账户

  • SYS/SYSTEM 账户:使用强密码,定期修改
  • 密码文件管理:ORAPWD FILE=orapwORCL FORCE=Y
  • 管理员账户监控:SELECT * FROM v$session WHERE username IN ('SYS', 'SYSTEM');
  • 限制管理员账户使用:只在必要时使用

应用程序账户

  • 应用服务账户:使用强密码,定期修改
  • 密码存储:使用安全的方式存储应用程序密码
  • 最小权限原则:应用账户只授予必要的权限
  • 应用账户监控:监控应用账户的活动

服务账户

  • 系统服务账户:使用强密码,定期修改
  • 密码配置:在服务配置中安全存储密码
  • 服务账户权限:限制服务账户的权限
  • 服务账户监控:监控服务账户的活动

密码策略审计和合规

密码策略审计

  • 定期审计密码策略执行情况
  • 检查弱密码:SELECT username FROM dba_users WHERE LENGTH(password) < 8;
  • 检查过期密码:SELECT username, expiry_date FROM dba_users WHERE expiry_date < SYSDATE;
  • 检查锁定账户:SELECT username, lock_date FROM dba_users WHERE account_status LIKE '%LOCKED%';

合规性检查

  • 检查密码策略是否符合行业标准(如 PCI DSS)
  • 验证密码复杂度要求是否满足
  • 检查密码过期设置是否合理
  • 验证账户锁定策略是否有效

审计报告

  • 生成定期密码策略审计报告
  • 记录密码策略变更
  • 报告弱密码和安全风险
  • 提供改进建议

密码恢复和应急处理

密码丢失处理

  • 管理员密码丢失:使用密码文件重置
  • 用户密码丢失:管理员重置密码
  • 应用程序密码丢失:从安全存储中获取或重置

应急密码管理

  • 建立密码应急响应流程
  • 准备紧急访问账户
  • 测试密码恢复流程
  • 记录密码应急事件

安全事件响应

  • 密码泄露处理:立即修改所有受影响的密码
  • 账户入侵处理:锁定受影响的账户,修改密码,检查未授权操作
  • 安全事件记录:记录所有安全事件,便于后续分析
  • 安全事件报告:向上级和相关部门报告安全事件

常见问题(FAQ)

Q1: 如何设计一个有效的密码策略?

A1: 设计有效的密码策略可以通过以下步骤:

  • 分析安全需求和合规要求
  • 定义密码复杂度要求:长度、字符类型、特殊字符
  • 设置合理的密码过期时间:如 90 天
  • 配置密码历史记录:防止密码重用
  • 设置账户锁定策略:防止暴力破解
  • 根据不同角色设计不同的密码策略
  • 定期评估和更新密码策略

Q2: 如何处理密码过期问题?

A2: 处理密码过期问题可以通过以下方法:

  • 密码过期前警告:设置 PASSWORD_WARNING,提前通知用户
  • 密码宽限期:设置 PASSWORD_GRACE_TIME,允许用户在宽限期内修改密码
  • 密码过期后处理:用户必须修改密码才能继续登录
  • 批量密码管理:对于大量用户,使用脚本批量处理密码过期问题
  • 监控密码过期:定期检查即将过期的密码,提前通知用户

Q3: 如何解锁被锁定的账户?

A3: 解锁被锁定的账户可以通过以下步骤:

  • 检查账户状态:SELECT username, account_status, lock_date FROM dba_users WHERE account_status LIKE '%LOCKED%';
  • 分析锁定原因:检查审计日志,确定是用户错误还是可能的攻击
  • 手动解锁账户:ALTER USER user_name ACCOUNT UNLOCK;
  • 重置密码(可选):ALTER USER user_name IDENTIFIED BY new_password;
  • 监控解锁后的活动:确保账户没有被未授权使用

Q4: 如何管理大量用户的密码?

A4: 管理大量用户的密码可以通过以下方法:

  • 使用角色和配置文件:为不同类型的用户创建不同的配置文件
  • 自动化密码管理:使用脚本自动化密码创建、修改和重置
  • 批量密码操作:使用批量命令处理多个用户的密码
  • 密码自助服务:部署密码重置自助服务,减少管理员负担
  • 集中式身份管理:使用 LDAP 或其他集中式身份管理系统

Q5: 如何平衡密码安全性和用户便利性?

A5: 平衡密码安全性和用户便利性可以通过以下方法:

  • 使用合理的密码长度:12-16 个字符,既安全又便于记忆
  • 实施密码短语:使用多个单词组成的密码短语,易于记忆且安全
  • 减少密码过期频率:对于强密码,适当延长过期时间
  • 部署单点登录:减少用户需要记住的密码数量
  • 使用双因素认证:增加安全性的同时,减少对复杂密码的依赖
  • 提供密码管理工具:为用户提供安全的密码管理工具