数据库系统的安全技术实施指南 (STIG) 工具

本文介绍了使用 Oracle Linux 7 预配的数据库系统的 STIG 工具(Python 脚本)。

安全技术实施指南 (Security Technical Implementation Guide,STIG) 是美国国防信息系统局 (Defense Information Systems Agency,DISA) 编写的文档,该文档提供有关配置系统以符合在国防部 (DoD) IT 网络系统中部署的网络安全标准的指导。STIG 要求通过专注于基础设施和网络安全来缓解漏洞,帮助保护网络免受网络安全威胁。

STIG 工具是 Python 脚本,用于确保 DISA 的 Oracle Linux 7 STIG 的安全合规性。该工具:

  • 使数据库系统的基本映像符合 Oracle Linux 7 STIG,
  • 将某些 STIG 规则嵌入到系统中,在需要满足安全合规性要求时可以在预配后激活,
  • 对嵌入式规则进行分类,使您能够查看和监视以下类别中的规则:

    • 基本映像中包括的静态规则,
    • 预配后根据需要激活的 DoD 规则,以满足美国需求。国防部合规标准,以及
    • 在需要时预配后激活的运行时规则,供所有需要加强数据库系统安全性的用户(包括美国以外的用户)使用。国防部 ),
  • 提供回退功能,使您能够将数据库系统回退到没有脚本进行配置修改的状态,并且
  • 提供合规性检查功能,使您可以查看数据库系统成功传递了多少规则。

获取 STIG 工具

所有新预配的数据库系统都提供了 STIG 工具。在数据库系统节点上的以下 OS 目录位置提供了 STIG 工具:/opt/oracle/dcs/bin/dbcsstig

STIG 工具的更新版本可从 Oracle Technology Network (OTN) 下载。更新数据库系统代理时,还会提供 STIG 工具的更新版本。

使用 STIG 工具

对 STIG 工具使用以下语法:
dbcsstig --<operation><category>
例如:
dbcsstig --fix dod

Command Reference

操作

表 - 工序

操作参数 定义
--check, -c 检查是否符合指定类别中包含的规则。
--fix, -f 对指定类别中包括的规则应用修复。
--rollback, -rb 回滚由 STIG 工具实施的系统配置更改。
--version, -v 提供 STIG 工具脚本的版本信息。
--help, -h 提供命令行帮助信息。

规则类别

表 - 规则类别

类别参数 定义
static 指定数据库系统基本映像中包含的规则。
dod 指定遵守 DISA 的 Oracle Linux 7 STIG 所需的规则。
runtime 指定在预配一般安全强化后激活的规则。
all 指定所有规则。