5数据库安全测评S3A3G3Oracle.docxVIP

完整版5数据库安全测评S3A3G3Oracle 完整版5数据库安全测评S3A3G3Oracle 完整版5数据库安全测评S3A3G3Oracle 数据库安全测评表（ Oracle ） （数据库版本： IP: ） 被访谈人员确认署名： 访谈人员署名： 访谈时间： 层 控制点 要求项 权重 测评实行 测评结果 切合 序号 面 程度 1）数据库管理系统的身份表记与鉴识体制采纳用户名 +密码的验 证举措实现； 1）访谈系统管理员和数据库管理员， 咨询操作 2）经检查，数据库管理系统中不存在空口令或默认口令的用户。 主 a) 应付登录操作系 系统和数据库管理系统的身份表记与鉴识体制 1）以默认口令和常有口令登录数据库，查察能否成功，查察 采纳何种举措实现； Oracle 数据库系统中能否存在空口令或默认口令的用户。 机 身份鉴 统和数据库系统的 0.5 2）检查主要服务器操作系统和主要数据库管 默认口令： sys/change_on_install 1 别（ S） 用户进行身份表记 安 理系统，查察能否供给了身份鉴识举措； system/manager ； 全 和鉴识； 3）浸透测试主要服务器操作系统， 测试能否存 常用口令一般包含： oracle ： oracle/admin/ora92 在绕过认证方式进行系统登录的方法； sys ：oracle/admin system ： oracle/admin 访谈系统顶用户能否存在默认口令的状况 1）检查主要服务器操作系统和主要数据库管 1）履行命令： select limit from dba_profiles where profile= ’ b) 操作系统和数据 理系统，查察其身份鉴识信息能否拥有不易被 DEFAULT’ and resource_type= ’PASSWORD’，查察能否启用口 主 库系统管理用户身 冒用的特色，如对用户登录口令的最小长度、 令复杂度函数。 机 身份鉴 份鉴识信息应拥有 1 复杂度和改换周期进行的要乞降限制； 2）检查 utlpwdmg.sql( 密码策略的 sql 履行文件 ,linux/unix 2 别（ S） 不易被冒用的特色， 2）浸透测试主要服务器操作系统， 可经过使用 默认路径是 $ORACLE_HOME/rdbms/admin/utlpwdmg.sql ) 中 安 全 口令应有复杂度要 口令破解工具等，对服务器操作系统进行用户 “--Check for the minimum length of the password ”部分中 求并按期改换； 口令强度检测，查察能否能够破解用户口令， “length(password) ”后的值。 破解口令后能否能够登录进入系统； 3）查察口令管理制度以及履行记录，并选择考证。 层 切合 序号 控制点 要求项 权重 测评实行 测评结果 程度 面 1）履行命令： select limit from dba_profiles where profile= ’ c) 应启用登录失败 DEFAULT’ and resource_name= ’ FAILED_LOGIN_ATTEMPTS’， 主 1）检查主要服务器操作系统和主要数据库管理 查察其值能否为 unlimited ，假如其值不为 unlimited 则说明进 办理功能，可采纳结 机 身份鉴 系统，查察能否已配置了鉴识失败办理功能， 行了登录失败试试次数的限制， 如设置了登录失败试试次数， 则 0.5 3 别（ S） 束会话、限制非法登 并设置了非法登录次数的限制值；查察能否设 履行命令： select limit from dba_profiles where profile= ’ 安 录次数和自动退出 全 置网络登录连结超时，并自动退出； DEFAULT’ and resource_name= ’PASSWORD_LOCK_TIME’，查察 等举措； 其值能否为 unlimited ，假如其值不为 unlimited 则说明设置了 口令锁准时间。 主 d) 当对服务器进行 1）访谈系统管理员和数据库管理员， 咨询对 1）查察 initSID.ora 中 REMOTE_OS_AUTHENT的赋值（ TRUE或 远程管理时， 应采纳 FALSE），能否同意管理员对数据库进行远程管理。 机 身份鉴 操作系统和数据库管理系统能否采纳了远程管 必需举措，防备鉴识 1 2）查察 listener.ora 文件中的“ LISTENER”- “DESCRIPTION” 4 别（ S） 安 信息在网络传输过 理，如采纳了远程管理，查察能否采纳了防备 - “ADDRESS_LIST”- “ADDRES