等保2.0数据库测评之达梦数据库测评

一、达梦数据库介绍

达梦数据库管理系统属于新一代大型通用关系型数据库，全面支持 ANSI SQL 标准和主流编程语言接口/开发框架。行列融合存储技术，在兼顾 OLAP 和 OLTP 的同时，满足 HTAP 混合应用场景。

本次安装环境为Windows10专业版操作系统，数据库版本为v458764，单机部署过程比较简单就不在此进行讲解。本文针对达梦数据库等保测评进行实际操作，不妥之处还恳请留言指正，共同学习。

                                       

二、等保测评

身份鉴别

a) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

达梦支持数据库身份验证模式和外部身份验证模式。数据库身份验证模式需要利用数据库口令，即在创建或修改用户时指定用户口令，用户在登录时输入对应口令进行身份验证；外部身份验证模式支持基于操作系统(OS)的身份验证、LDAP 身份验证和 KERBEROS 身份验证。

1）验证方式：

2）用户登录验证：

3）口令策略：

执行命令：“select * from v$dm_ini where para_name ='PWD_POLICY';”查看密码策略：

4）用户唯一标识由达梦数据库自动实现，这点默认符合。

b) 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

达梦数据库具备登录失败处理功能：

备注：如果未设置登录失败处理措施，可执行命令：“LIMIT FAILED_LOGIN_ATTEMPS 3, PASSWORD_LOCK_TIME 5;”进行配置。表示用户失败的登录次数达到3次，这个用户账号将被锁定5分钟。

c) 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

核查是否采用加密等安全方式对系统进行远程管理，防止鉴别信息在网络传输过程中被窃听。检查远程管理时管理员所使用的管理协议，查看传输过程中的鉴别信息是否是经过加密处理的、抗重放的，并可使用抓包工具，判断管理员远程管理时传输过程中的鉴别信息被窃听的可能性。

选择是否使用SSL协议加密以达梦数据库服务器端的设置为准，即通过设置服务器配置文件DM.INI中的ENABLE_ENCRYPT参数来指定，客户端以服务器采用的通信方式与其进行通信。

达梦数据库在ENABLE_ENCRYPT 取值 0、1 和 2 分别代表不加密、SSL 加密、SSL 认证，默认值为 1；COMM_ENCRYPT_NAME 参数用来指定消息通信的加密算法名，如果为空则不进行通信加密；如果给的加密算法名错误，则使用加密算法 DES_CFB。DM 支持的加密算法名可以通过查询动态视图 V$CIPHERS 获取。（本地管理可判定为不适用，远程管理根据实际情况判定）。

d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

访谈管理员并进行验证，是否采用双因子身份鉴别技术，鉴别技术是什么 。实际实现双因素认证比较麻烦，一般情况判定为不符合。

访问控制

a) 应对登录的用户分配账户和权限；

1)查看用户，并结合结合访谈管理员是否存在网络管理员，安全管理员，系统管理员、审计管理员等多个账户，为各个管理用户分配对应的权限，根据所列出的账户，查看是否存在默认账户，默认账户是否已禁用。

b) 应重命名或删除默认账户，修改默认账户的默认口令

达梦数据库具有特定的默认账户，存在默认口令即用户名，达梦数据库实现了 B1 级安全特性。“三权分立”的安全机制，将系统管理员分数据库管理员、数据库安全员和数据库审计员三类。在安装过程中，DM 数据库会预设数据库管理员账号 SYSDBA、数据库安全员账号 SYSSSO 和数据库审计员账号 SYSAUDITOR，其缺省口令都与用户名一致。“四权分立”的安全机制，将系统管理员分数据库管理员、数据库对象操作员、数据库安全员和数据库审计员四类，在“三权分立”的基础上，新增数据库对象操作员账户SYSDBO，其缺省口令为 SYSDBO。用户需要在安装过程中或者安装完毕后立即修改缺省口令，避免因口令泄漏造成的安全问题。

c) 应及时删除或停用多余的、过期的账户，避免共享账户的存在

1）询问管理员数据库中的账户使用情况，是否存在无人使用的账户，如果存在建议删除。

2)检查网络管理员，安全管理员、系统管理