数据库-oracle.doc

等级保护测评－检查表－数据库oracle(三级) 类别 测评内容 测评方式示例 符合情况 身份鉴别 a) 应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别 应检查Oracle数据库系统，查看是否存在空口令或默认口令的用户（Oracle默认满足，但应防止口令出现空口令或默认口令情况）。 默认口令，如：SYS / CHANGE_ON_INSTALL；SYSTEM/MANAGER 。 常用口令：oracle:oracle/admin/ora92（ora+版本）; sys:oracle/admin; system:oralce/admin 。 输入：用管理员帐户进入SQL*Plus，执行select username from dba_users; b) 操作系统和数据库管理系统用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换 1、在SQL*Plus: select * from dba_profiles where resource_name = PASSWORD_VERIFY_FUNCTION; select * from dba_profiles where resource_name = PASSWORD_REUSE_MAX; 查看相关参数是否符合以下要求： a) PASSWORD_VERIFY_FUNCTION 8 b) PASSWORD_REUSE_MAX 5 2、查看是否启用口令复杂度函数，执行命令：select limit from dba_profiles where profile=DEFAULT and resource_name=PASSWORD_VERIFY_FUNCTION 检查utlpwdmms.sql中“-- Check for the minimum length of the password”部分中“length(password)“后的值。 或者：查看口令管理制度以及执行记录，并选择验证。 c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 1、在SQL*Plus: select * from dba_profiles where resource_nameresource_name = FAILED_LOGIN_ATTEMPTS; 查看相关参数是否符合以下要求： FAILED_LOGIN_ATTEMPTS 10 2、执行命令：select limit from dba_profiles where profile=DEFAULT and resource_name=FAILED_LOGIN_ATTEMPTS。 执行命令：select limit from dba_profiles where profile=DEFAULT and resource_name=PASSWORD_LOCK_TIME 。 d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听 1、询问数据库管理员是否采取措施保证远程管理数据加密传输 。 在服务器网络实用工具中查看是否启用“强制协议密码” 2、查看是否采用远程管理，如果采取远程管理， 是否采用加密的方式。Oracle远程管理加密可以通 过Oracle Net Manager（网络管理器）工具实现。 e) 应为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性 1、询问数据库管理员，是否为不同的登录用户分配不同的用户名，保证对用户行为可审计。 防止不同用户使用相同的用户名登录数据库系统。 2、查看是否存在多人共用一个管理员帐号的现象 （A、B角需要账户） f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别 包括三种方法：数据库鉴别、操作系统鉴别和密码文件鉴别。数据库鉴别方法是常见方式，其所需鉴别信息存放在在system表空间的某个表中；特殊的数据库操作，如启动、关闭数据库需要通过操作系统或者密码文件鉴别方法。 还可以借助应用程序服务器提供网络验证，可以引入Kerberos、RADIUS、PKI，如【clt-oracle svr/radius clt-radius svr-authent svr】。 oracle数据库通过sqlnet.ora文件中的参数SQLNET.AUTHENTICATION_SERVICES【NONE|NTS】、PFILE（或SPFILE）文件中的参数REMOTE_LOGIN_PASSWORDFILE【NONE|EXCLUSIVE|SHARED】和口令文件PWDsid.ora三者协同作用实现身份认证。 访问控制 a) 应启用访问控制功能，依据安全策略控制用户对资源的访问 查看是否依据安全策略