一. 身份鉴别

1.1 口令强度策略

1. 查看密码策略

 SELECT PARA_NAME ,PARA_VALUE FROM V$DM_INI WHERE "V$DM_INI".PARA_NAME ='PWD_POLICY'

2. 修改密码策略（只针对新的用户生效）

ALTER SYSTEM SET 'PWD_POLICY'=31 BOTH;

3.查看密码过期策略

SELECT A.USERNAME,B.LIFE_TIME ,GRACE_TIME FROM ALL_USERS A,SYSUSERS B WHERE A.USER_ID =B.ID;

4.修改密码过期策略--修改密码有效期 90 天,宽限期 30 天

ALTER USER TEST01 LIMIT PASSWORD_LIFE_TIME 90, PASSWORD_GRACE_TIME 30;

1.2 登录失败策略

1. 查看登录失败策略

SELECT A.USERNAME,B.LOCK_TIME , b.FAILED_ATTEMPS ,b.CONN_IDLE_TIME FROM ALL_USERS A ,SYSUSERS B WHERE A.USER_ID =B.ID

2. 修改登录失败策略--修改用户登录失败三次，锁定 1 分钟，空闲连接时间 10 分钟

ALTER USER TEST01 LIMIT PASSWORD_LOCK_TIME 1, FAILED_LOGIN_ATTEMPS 3,CONNECT_IDLE_TIME 10;

二. 安全审计

2.1开启数据审计功能

1.查看数据审计策略

select * from v$dm_ini where para_name like '%AUDIT%';

2.开启数据审计功能(使用审计用户开启)

SP_SET_ENABLE_AUDIT (1);

2.2 配置审计规则

(SYSDBA/SYSAUDITOR 添加、用户审计、用户实施 DDL 审计、用户实施DML 审计、用户的权限更改审计，相关数据操作员添加，用户审计、用户实施 DDL 审计、用户的权限更改审计)。

--用户审计
--添加用户创建／修改／删除用户操作的审计
SP_AUDIT_STMT('USER', '用户名', 'ALL');
--添加用户登陆登出的审计
SP_AUDIT_STMT('CONNECT', '用户名', 'ALL'
--用户权限的更改审计
--添加用户回收权限操作
SP_AUDIT_STMT('REVOKE', '用户名' , 'ALL');
--添加用户授权授予权限操作
SP_AUDIT_STMT('GRANT', '用户名', 'ALL');
--用户实施 DML 操作审计
--添加用户表上删除的权限
SP_AUDIT_STMT('DELETE TABLE', '用户名', 'ALL');
--添加用户表上更新的权限
SP_AUDIT_STMT('UPDATE TABLE', '用户名', 'ALL');
--添加用户调用存储过程或函数操作
SP_AUDIT_STMT('EXECUTE PROCEDURE', '用户名', 'ALL');
--添加用户表上查询的权限
SP_AUDIT_STMT('SELECT TABLE', '用户名', 'ALL');
--添加用户表上插入的权限
SP_AUDIT_STMT('INSERT TABLE', '用户名', 'ALL');
--用户实施 DDL 操作审计
--添加用户创建／删除角色操作
SP_AUDIT_STMT('ROLE', '用户名', 'ALL');
--添加用户创建／删除／设置当前模式操作
SP_AUDIT_STMT('SCHEMA', '用户名', 'ALL');
--添加用户创建／删除包规范
SP_AUDIT_STMT('PACKAGE', '用户名', 'ALL');
--添加用户创建／删除包规范
SP_AUDIT_STMT('PACKAGE BODY', '用户名', 'ALL');
--添加用户创建／修改／删除／清空基表操作
SP_AUDIT_STMT('TABLE', '用户名', 'ALL');
--添加用户创建／删除索引操作
SP_AUDIT_STMT('INDEX', '用户名', 'ALL');
--添加用户创建／修改／删除视图操作
SP_AUDIT_STMT('VIEW', '用户名', 'ALL');
--添加用户创建／修改／删除触发器操作
SP_AUDIT_STMT('TRIGGER', '用户名', 'ALL');
--添加用户创建／修改／删除存储模块操作
SP_AUDIT_STMT('PROCEDURE', '用户名', 'ALL');
--添加用户创建／修改／删除全文索引操作
SP_AUDIT_STMT('CONTEXT', '用户名', 'ALL');
--添加用户创建／修改/删除序列操作
SP_AUDIT_STMT('SEQUENCE', '用户名', 'ALL');

2.3 查看审计日志

查看审计日志路径

审计日志路径（默认数据库实例目录）

SELECT * FROM V$DM_INI WHERE "V$DM_INI".PARA_NAME LIKE 'AUD_PATH%';

三、入侵规范

添加允许 IP 地址连接用户登录数据库

3.1 添加白名单ip

ALTER USER "TEST01" ALLOW_IP "192.168.11.71";

3.2 查看白名单ip

SELECT A.USERNAME,B.LOCK_TIME , b.ALLOW_ADDR FROM ALL_USERS A ,SYSUSERS B WHERE A.USER_ID =B.ID;