数据oracle的等保三级测评,等级保护测评三级详解测评要求项测评方法及测评步骤...
等级保护测评三级详解测评要求项测评方法及测评步骤
【时间】2019-10-07
【编辑】Admin
【浏览量】
【等级保护QQ交流群】881590869
等级保护【数据库Oracle】测评:
详解【数据库Oracle】(三级):身份鉴别、访问控制、安全审计、资源控制四个控制点的测评要求项、测评方法及测评步骤!
身份鉴别
a)应对数据库系统的用户进行身份标识和鉴别;
测评方法及步骤:
1)以默认口令或者常见口令尝试登录数据库,查看是否成功,查看是否需要口令以及是否存在空口令
$ sqlplus/nolog
SQLconnuser/password as sysdba
2)或者使用Oracle客户端管理控制台(Enterprise Manager Console)进行登录
3)默认口令包括sys/change_on_install;system/manager,scott/tiger,常用口令包括oracle:admin/oracle;sys:admin:oracle等。(更改用户口令alter user user_name identified by password),或者用select * from dba_users;查看账号口令;
b)数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
测评方法及步骤:
1)select username,profile fromdba_user;了解用户使用的profile
2)select * from dba_profiles whereprofile='default';查看系统本身的profile的配置参数都有哪些?
PASSWORD_VERIFY_FUNCTIONverify_function为密码复杂度验证函数已经开启。这个oracle默认verify_function()函数,要求口令密码最小长度4、不能和用户名相同、至少有一个字母、数字和特殊字母,旧密码和新密码至少有三位不同。如果你觉得这个要求还太低,那你就创建自己复杂的验证函数
3)检查utlpwdmg.sql中"-- Check for the minimum length of the password"部分中"length (password)
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
测评方法及步骤:
1)select limitfrom dba_profiles where resource_name='FAILED_LOGIN_ATTEMPTS
FAILED_LOGIN_ATTEMPTS:最大错误登录次数
PASSWORD_GRACE_TIME:口令失效后锁定 时间
PASSWORD_LIFE_TIME:口令有效时间
PASSWORD_LOCK_TIME:登录超过有效次数锁定时间
查看有无对各项进行时间/次数上的设置和限制;
d)当对服务器进行远程管理时,应采取必要措施,防治鉴别信息在网络传输过程中被窃听;
测评方法及步骤:
1)询问管理员是否采取加密手段保证数据库的访问信息不被窃听
2)在9i中查看数据库安装目录下的\admin\DB_NAME\pfile\initSID.ora中REMOTE_OS_AUTHENT的赋值,确认是否允许管理员对数据库进行远程连接和管理,其他版本用命令“SHOW PARAMETERS AUTH;”记录是否允许远程访问
3)或者图形界面管理中查看打开Oracle客户端管理控制台(Enterprise Manager Console);添加被评估数据库的连接信息,使用sys或system用户登录数据库;在左侧菜单栏中打开“例程”,选中“配置”栏,再选择“一般信息”页面,点击“所有初始化参数”;在弹出的界面中,查看“remote_os_authent”参数行的设置,为是否允许远程连接,如实记录该原始数据或拷屏
4)查看lsnrctl status查看是否存在TCPS协议;
e)应为数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;
测评方法及步骤:
1)询问管理员,是否为不同的用户分配了不同的账户。可检索账户“selectusername,account_status from dba_users”,并询问是否建立制度,确保不同人员使用不同用户登录数据库系统;
f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别;
测评方法及步骤:
1)询问管理员数据库是否采用了2种以上身份鉴别方式进行身份认证,如是否部署CA认证等第三方认证产品进行认证;
2)查看配置文件 db_1\NETWORK\ADMIN目录下或$TNS_ADMIN/sqlnet.ora的sqlnet.ora,查看SQLNET_AUTHENTICATION_SERVICES的值,确认数据库管理员指定的鉴别方式是否与管理员回答的一致,值为NTS时,则为使用windows系统认证,当为none时,则需要双重身份认证。但是不为双因子认证;
此条中判断以第一条为准,第二条仅做参考,不对结果造成影响;
访问控制
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
测评方法及步骤:
1)linux下在数据库的操作系统中打开$ORACLE_HOME\bin目录,并找到可执行程序Oracle;
在操作系统中运行命令:ls –al oracle;查看其运行、读写权限;
2)访谈管理员是否有其他方式(如防火墙、ACL、IPsec等方式)进行端口/IP级的访问限制,或者其他方式对数据库访问的控制,并进行验证;
判定依据主要参考第三条,第一二条为辅助依据;
b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
测评方法及步骤:
1)查看应用账户是否属于DBA组权限
2)select grantee from dba_role_privs where grante_role='DBA' and grante not in('SYS','SYSTEM','CTXSYS','WmSYS','SYSMAN');
c)应实现操作系统和数据库系统特权用户的权限分离;
测评方法及步骤:
询问管理员是否由不同员工分别担任操作系统管理员与数据库管理员
登录操作系统,查看是否能对数据库系统进行操作;
d)应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
测评方法及步骤:
询问管理员:应尽量重命名数据库系统的默认账户,如果部分账户无法重命名,则应加强这些账户的口令强度,确保这些账户不被授权使用;
e)应及时删除多余的、过期的帐户,避免共享帐户的存在;
测评方法及步骤:
1、在sqlplus中执行命令
desc dba_users
selectusername,account_status from dba_users where account_status='OPEN'
2、查看返回结果中是否存在scott、outln、ordsys等范例数据库账号,在windows中或者用图形用户界面找到安全性查看用户状态检查是否有过期、共享帐户存在;
f)应对重要信息资源设置敏感标记;
测评方法及步骤:
1)检查是否安装oracle label security模块(如无,下面步骤可省略)select username from dba_users;查看有无lbacsys的用户,如无,则无安装Oracle Label Security模块
2)查看是否创建策略:select policy_name,statusfrom DBA_SA_POLICIES
3)查看标签创建情况:select * fromdba_sa_lables;
g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
测评方法及步骤:
登录sqlplus,查看用户的标签
select * fromdba_sa_lables
select * fromdba_sa_tables_policies;可让管理员演示选择特定的用户和表进行验证敏感标记功能是否正确;
安全审计
a)审计范围应覆盖到服务器和重要客户端上的每个数据库用户;
测评方法及步骤:
检查并记录数据库操作审计的配置策略
show parametersaudit;查看数据库审计的目录及审计是否开启,审计级别
1.windows中打开Oracle客户端管理控制台(Enterprise Manager Console)
2.添加被评估数据库的连接信息,使用sys或system用户登录数据库
3.在左侧菜单栏中打开“例程”,选中“配置”栏,再选择“一般信息”页面,点击“所有初始化参数”
4.在弹出的界面中,查看“audit_trail”参数行的设置,如实记录该原始数据或拷屏。如果为linux系统执行show parameters audit_trail;查看是否开启审计功能
5.进行管理员和一般用户登录登出,查看审计日志是否能正确记录
6.以上条件不满足时,询问管理员是否有第三方数据库审计软件;
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
测评方法及步骤:
查看AUDIT_TRAIL的值为NONE为关闭审计功能,audit_sys_operations为YES审计系统重要操作;
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
测评方法及步骤:
select * fromsys.aud$,select * fromdba_audit_trail,记录审计记录中事件的日期、时间、类型、主体标识、客体标识和结果等记录情况;
d)应能根据记录数据进行分析,并生产审计报表;
测评方法及步骤:
询问管理员是否安装并使用了oracle audit vault等日志分析工具并查看相关报表,或者是否采用了第三方数据库审计软件以及具有报表功能并定期生成报表;
e)应保护审计进程,避免受到未预期的中断;
测评方法及步骤:
询问是否严格限制数据库管理员权限,系统管理员能否进行与审计相关的操作。用户可以通过alter system set audit_trail='NONE' scope=spfile;,查看是否成功;
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等;
测评方法及步骤:
询问数据库管理员,是否严格限制用户访问审计记录的权限,如采用audit vault等,或者第三方审计系统,并检查是否定期对审计日志做备份;
资源控制
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
测评方法及步骤:
方法一:人工审计
1.以文本文件的方式,打开操作系统中的数据库服务配置文件“SQLNET.ORA”(数据库目录下的NETWORK\ADMIN\)
查看是否存在如下内容
tcp.validnode_checking=YES
tcp.excluded_nodes=
tcp.invited_nodes=,如存在则对IP地址进行了限制
3.如实记录该原始数据或拷屏
4.如果没有在数据库系统上进行配置,询问是否在防火墙或者其他网络设备/安全设备上进行了相关的配置;
方法一:人工审计
1.以文本文件的方式,打开操作系统中的数据库服务配置文件“listener.ora”;
2.查看“ADMIN_RESTRICTIONS_listener_name=”的设置(此项设置为防止对oracle listener的未经授权的管理,需要),如实记录该原始数据或拷屏,如为ON则符合,不存在则不符合;
b)应根据安全策略设置登录终端的操作超时锁定;
测评方法及步骤:
查看空闲超时设置,selectlimit from dba_profiles where resource_name='IDLE_TIME'.查看超时设置,并记录或查看系统概要文件;
c)应限制单个用户对系统资源的最大或最小使用限度;
测评方法及步骤:
执行命令,查看用户使用的profile,select username,profile fromdba_users,查看其限制,set lines 300
查看默认用户的并行会话数和CPU使用时间
select limitfrom dba_profiles where profile='DEFAULT';,或CPU_PER_SESSION,IDLE_TIME,'SESSIONS_PER_USER'等各设置
下面是全部可用的参数:
SESSIONS_PER_USER 每个用户名所允许的并行会话数
CPU_PER_SESSION 一个会话一共可以使用的CPU时间,单位是百分之一秒
CPU_PER_CALL 一次SQL调用(解析、执行和获取)允许使用的CPU时间
CONNECT_TIME 限制会话连接时间,单位是分钟
IDLE_TIME 允许空闲会话的时间,单位是分钟
LOGICAL_READS_PER_SESSION 限制会话对数据块的读取,单位是块
LOGICAL_READS_PER_CALL 限制SQL调用对数据块的读取,单位是块
COMPOSITE_LIMIT “组合打法”
PRIVATE_SGA 限制会话在SGA中Shared Pool中私有空间的分配;
数据oracle的等保三级测评,等级保护测评三级详解测评要求项测评方法及测评步骤...相关推荐
- 计算机三级网络技术知识点cn,计算机等级三级网络技术考试详解
首页 > 办公休闲手游 计算机等级三级网络技术考试详解 一.基本知识 1.具有计算机软件及 应用的基本知识 2.掌握操作系统的基 本知识 3.掌握计算机网络的基本概念与基 本工作原理 4.掌握I ...
- Spring三级缓存解决循环依赖问题详解
spring三级缓存解决循环依赖问题详解 前言 这段时间阅读了spring IOC部分的源码.在学习过程中,自己有遇到过很多很问题,在上网查阅资料的时候,发现很难找到一份比较全面的解答.现在自己刚学习 ...
- SQL全方位攻略:5. SQL “方言”大比拼:Oracle、MySQL、PostgreSQL限制检索行数语法详解(分页查询)
系列文章目录 SQL全方位攻略:1.数据库介绍 SQL全方位攻略:2.SQL介绍 SQL全方位攻略:3.SQL标准 SQL全方位攻略:4. 标准SQL和SQL"方言" 文章目录 系 ...
- oracle8i substr,Oracle中的INSTR,NVL和SUBSTR函数的用法详解
Oracle中INSTR的用法: INSTR方法的格式为 INSTR(源字符串, 要查找的字符串, 从第几个字符开始, 要找到第几个匹配的序号) 返回找到的位置,如果找不到则返回0. 例如:INSTR ...
- python计算各类型电影的评分_【Python数据科学实战项目】之 基于MovieLens的影评趋势分析|详解...
原标题:[Python数据科学实战项目]之 基于MovieLens的影评趋势分析|详解 注:图片源于https://movielens.org/ 1. 项目任务 1.1 数据来源 本项目使用Group ...
- 基于点击量的趋势分析python_【Python数据科学实战项目】之 基于MovieLens的影评趋势分析详解...
原标题:[Python数据科学实战项目]之 基于MovieLens的影评趋势分析详解 本文转自: 数据科学DataScience 注:图片源于https://movielens.org/ 1. 项目任 ...
- 全国青少年软件编程(Scratch 3级)等级考试试卷----试题详解
全国青少年软件编程(Scratch 3级)等级考试试卷----试题详解 一.选择题: 试题讲解:审题可知,该脚本要画出"三角形风车", 不难分析 1 :是要画出4个同样的轮廓,既: ...
- 【等保实践】等级保护仅仅是合规吗?
等保的前世今生 数一数,等级保护从提出到应用已经有二十多年了,各行各业的信息化系统都发生了翻天覆地的变化. 记忆回到2000年,那一年单位引进了互联网,新建的微机室中整整齐齐摆放着50台电脑,等待着检 ...
- oracle数据库是db还是dbnms,Oracle数据库中各种类型的文件损坏与修复过程详解(2)...
5.损坏全部联机日志 (1)故障模拟 删除日志文件:rm /u02/oradata/dbnms/*.log 关闭数据库:shutdown immediate; 启动数据库:startup; Datab ...
- 若依ajax返回数据,若依管理系统RuoYi-Vue(二):权限系统设计详解
若依Vue系统中的权限管理部分的功能都集中在了系统管理菜单模块中,如下图所示.其中权限部分主要涉及到了用户管理.角色管理.菜单管理.部门管理这四个部分. 一.若依Vue系统中的权限分类 根据观察,若依 ...
最新文章
- 51定时器控制4各led,使用回调函数机制
- 不定字段数目的数据库表设计和数据结构
- hue 添加jar_在hue下配置jdbc驱动
- 【Linux系统编程】vfork() 函数详解
- go grpc 深入笔记
- 如何随机选取1000个关键字
- onu光功率多少是正常_熔融拉锥型(FBT) VS平面波导型(PLC)光分路器,如何选择?...
- 【动态规划】01背包问题:猫狗大战
- Security+ 学习笔记37 脚本和命令行
- SQL-Server2008数据库异常报错
- UML 类图画法规则
- 中文字体下载大全+传世书法墨迹珍藏..等20款
- poj 2683 Ohgas' Fortune 利率计算
- 车载系统大战:左边是BAT,右边是华为小米们
- proe常用c语言语句,proe关系式(大全).doc
- ad19电气规则检查_AD19中PCB设计常用规则-电气规则设置
- 学python为何不好找工作呢?
- 计算机高级通信机制,深入电脑运行原理之进程通信(Operating System四级内容)...
- 程序底层工具:cl编译器
- Winodows subsystem for Linux(WSL)的安装及GUI图形界面启用
热门文章
- PX4 编译报错问题解决方法、PX4切换固定版本编译
- [ZT]如何建立通过防火墙的 NetMeeting 连接
- 【转】“中国网游死亡档案”出炉:网游淘汰率达1比1
- 获取常用3500字的书法图片
- 计算机文件图标怎么一致大小,电脑图标大小设置的几种方法
- SpringBoot整合JavaMail---发送邮件
- C++ 代码整洁之道
- 9_林业专题图的制作
- win10计算机管理被阻止,Win10家庭版安装程序提示系统管理员已阻止你运行此应用的解决办法...
- LoadRunner压力测试