数据库安全测评.docVIP

数据库安全测评表（Oracle） （数据库版本： IP: ） 被访谈人员确认签字： 访谈人员签字： 访谈时间： 序号 层面 控制点 要求项 权重 测评实施 测评结果 符合 程度 1 主机安全 身份鉴别（S） a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 0.5 访谈系统管理员和数据库管理员，询问操作系统和数据库管理系统的身份标识与鉴别机制采取何种措施实现； 检查主要服务器操作系统和主要数据库管理系统，查看是否提供了身份鉴别措施； 3）渗透测试主要服务器操作系统，测试是否存在绕过认证方式进行系统登录的方法； 1）数据库管理系统的身份标识与鉴别机制采取用户名+密码的验证措施实现； 2）经检查，数据库管理系统中不存在空口令或默认口令的用户。 1）以默认口令和常见口令登录数据库，查看是否成功，查看Oracle数据库系统中是否存在空口令或默认口令的用户。 默认口令：sys/change_on_install system/manager； 常用口令一般包括：oracle：oracle/admin/ora92 sys：oracle/admin system：oracle/admin 访谈系统中用户是否存在默认口令的情况 2 主机安全 身份鉴别（S） b) 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 1 检查主要服务器操作系统和主要数据库管理系统，查看其身份鉴别信息是否具有不易被冒用的特点，如对用户登录口令的最小长度、复杂度和更换周期进行的要求和限制； 2）渗透测试主要服务器操作系统，可通过使用口令破解工具等，对服务器操作系统进行用户口令强度检测，查看是否能够破解用户口令，破解口令后是否能够登录进入系统； 1）执行命令：select limit from dba_profiles where profile=’DEFAULT’ and resource_type=’PASSWORD’，查看是否启用口令复杂度函数。 2）检查utlpwdmg.sql(密码策略的sql执行文件,linux/unix默认路径是$ORACLE_HOME/rdbms/admin/utlpwdmg.sql)中“--Check for the minimum length of the password”部分中“length(password)”后的值。 3）查看口令管理制度以及执行记录，并选择验证。 3 主机安全 身份鉴别（S） c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 0.5 1）检查主要服务器操作系统和主要数据库管理系统，查看是否已配置了鉴别失败处理功能，并设置了非法登录次数的限制值；查看是否设置网络登录连接超时，并自动退出； 1）执行命令：select limit from dba_profiles where profile=’DEFAULT’ and resource_name=’FAILED_LOGIN_ATTEMPTS’，查看其值是否为unlimited，如果其值不为unlimited则说明进行了登录失败尝试次数的限制，如设置了登录失败尝试次数，则执行命令：select limit from dba_profiles where profile=’DEFAULT’ and resource_name=’PASSWORD_LOCK_TIME’，查看其值是否为unlimited，如果其值不为unlimited则说明设置了口令锁定时间。 4 主机安全 身份鉴别（S） d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 1 1）访谈系统管理员和数据库管理员， 询问对操作系统和数据库管理系统是否采用了远程管理，如采用了远程管理，查看是否采用了防止鉴别信息在网络传输过程中被窃听的措施； 1）查看initSID.ora中REMOTE_OS_AUTHENT的赋值（TRUE或FALSE），是否允许管理员对数据库进行远程管理。 2）查看listener.ora文件中的“LISTENER”-“DESCRIPTION”-“ADDRESS_LIST”-“ADDRESS”-“PROTOCOL”的赋值，是否启用了包括TCPS在内的加密协议。 5 主机安全 身份鉴别（S） e) 为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性； 0.5 1）检查主要服务器操作系统和主要数据库管理系统帐户列表，查看管