以下结果以Oracle 11g为例,通过PL/SQL进行管理,未进行任何配置、按照等保2.0标准,2021报告模板,三级系统要求进行测评。
一、身份鉴别
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
sysdba是Oracle数据库的最高权限管理员。通常使用sqlplus或PL/SQL 管理软件进行管理,PL/SQL
为第三方管理软件,但SQL查询语句一样。
注:sysdba如果是本地管理,乱输密码也能登录成功,需要改sqlnet.ora文件。
1.
管理员登录数据库时是是否需要输入用户名/口令,不存在空口令;
2. 使用 Select username,account_status from dba_users ;
显示所有能登录数据库的用户信息:(),那些是open那些是locked,UID是否唯一3.
通过命令 select * from dba_profiles where resource_type=‘password’; 或 SELECT
LIMIT FROM DBA_PROFILES WHERE PROFILE=‘DEFAULT’ AND
RESOURCE_NAME=‘PASSWORD_VERIFY_FUNCTION’;
如果为NULL则为未设置密码复杂度要求。
若有设置应为
(1)PASSWORD_LOGIN_ATTEMPTS = 登录尝试次数;
(2)PASSWORD_LIFE_TIME = unlimited 未设置口令有效期;
(3)PASSWORD_ROUSE_MAX = unlimited 未设置重新启用一个先前用过的口令前必须对该口令进行重新设置的次数(重复用的次数);
(4)PASSWORD_VERIFY_FUNCITON = NULL,未设置口令复杂度校验函数;
(5)PASSWORD_GRACE_TIME=,口令修改的宽限期天数:7;
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
1. 通过输入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE=‘DEFAULT’ AND
RESOURCE_NAME=‘FAILED_LOGIN_ATTEMOTS’;
,查询结果若为’UNLIMITED’则无登录重试次数限制,超过此值用户被锁定。可以通过ALTER PROFILE DEFAULT LIMIT
FAILED_LOGIN_ATTEMPTS
10(重试次数10次)
2. 通过输入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE=‘DEFAULT’ AND
RESOURCE_NAME=‘PASSWORD_LOCK_TIME’; ,
查询结果若为’unlimited’则无登录失败次数锁定限制。可以通过ALTER PROFILE DEFAULT LIMIT
PASSWORD_LOCK_TIME
1/24(重试失败后锁定一天)
3. 通过输入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE=‘DEFAULT’ AND
RESOURCE_NAME=‘IDLE_TIME’; ,
查询结果若为’UNLIMITED’则无登录超时限制。
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
采用sqlplus或PL/SQL连接数据库,对数据库进行管理,客户端与服务器端之间通信是加密的,故Oracle该项默认符合。
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
经访谈管理员,是否采用双因子身份鉴别技术,鉴别技术是什么 。默认都不符合。
二、访问控制
a) 应对登录的用户分配账户和权限;
通过输入 Select username,account_status from dba_users;
语句,主要查看数据库存在那些可用用户,至少得有两个,该测评项就需要Oracle中存在至少两个账户,且这两个账户的权限不一样。
1.为用户分配了账户和权限及相关设置情况,主要看可用账户(例如采用“用户权限列表”);
2.是否已禁用或限制匿名、默认账户的访问权限。如只有MGMT_UIEW,SYSTEM,SYS,DBSNMP为启用状态,其他均为启用状态,则为符合。
b) 应重命名或删除默认账户,修改默认账户的默认口令
在Oracle中默认用户最常用的就是SYS和SYSTEM这两个账户。
1.是否已经重命名SYS、SYSTEM、DBSNMP等默认帐户名或已修改默认口令,sys默认口令为CHANGE_ON_INSTALL;SYSTEM:MANAGER;DBSNMP的默认口令为:DBSNMP。可以登录测试。
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在
访谈管理员是否存在多余或过期账户,管理员用户与账户之间是否一一对应通过输入 Select username,account_status from
dba_users;
查看是否存在默认帐户SCOTT/OUTLN/ORDSY等用户,不存在acount_status为expired的账户。访谈管理员是否存在共享账户等。示例不符合。
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离
1. 通过输入 Select username,account_status from dba_users;
查看状态为open的用户的用途。是否进行角色划分,是否有多个用户进行管理数据库;
2. 通过输入 **select * from dba_tab_privs where grantee=‘SYS’ ORDER BY
GRANTEE;**查看SYS最高权限授予给那些用户,得知管理用户的权限是否已进行分离;3.
通过访谈管理员、管理用户权限是否为其工作任务所需的最小权限,是否存在相应的用户权限表。
4. 通过输入 select granted_role from dba_role_privs where grantee=‘PUBLIC’;
返回值( ) 得知public是否被授权给用户,有就不符合 ;
5. 通过在命令窗口输入 Show parameter O7_DICTIONARY_ACCESSIBILITY
;返回值(是否为false);(该参数设置为false为符合,如果用户具有了any
table权限,则可以访问除sys用户之外的其他用户的对象,也就无权访问数据字典基表。)
TIPS: sql语句在 PL/sql的文件–》sql窗口执行,show等命令语句在命令窗口执行。sqlplus则不区分。
综上判断符合程度。
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
通过访谈管理员,是否由特定账户为登录用户分配角色和权限。是否存在具体的访问规则。
f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
1.通过访谈数据库管理员,是否制定数据库访问控制策略,访问控制的粒度为数据库表级。此项默认符合。
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
通过访谈数据库管理员: 是否对重要主体和客体设置安全标记。
oracle自身应该不具备这个功能,可能要依靠操作系统或者第三方的什么软件如Oracle_Label_Security来实现了。该项一般默认都不符合。
三、安全审计
a) 应启用安全审计功能,审计覆盖到每个用 户,对重要的用户行为和重要安全事件进行审计
Oracle自带有审计功能,可以通过audit_trail参数来开启使用。
1. 通过输入 show parameter audit_trail
;返回值默认为DB,即为普通用户开启审计功能,若为none则为未开启状态;2.
通过输入 select * from dba_stmt_audit_opts;和select * from dba_priv_audit_opts;
返回结果如User_Name为空值,对这些重要事件开启审计,并且这个审计是针对所有用户的,符合要求。3.
通过输入 show parameter audit_sys_operations; 返回结果 audit_sys_operations
boolean FALSE 则未对SYSDBA或SYSOPER特权连接时直接发出的SQL语句进行审计,需要开启,默认为false。
综上分析判断符合程度。
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
通过输入 select * from aud$; 查看审计日志的格式,默认符合。(输入show parameter dump_dest
得出backgroup_dump_dest的值为日志文件的位置。)。下图没有显示完全。
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
1. 通过访谈管理员, 是否采取技术措施对审计记录进行定期备份,采用的技术措施及备份策略是怎么样的?如通过syslog端口导入到日志服务器。
2. 是否只有特定的管理员拥有对审计记录的操作权限,普通用户无法访问审计记录。
d) 应对审计进程进行保护,防止未经授权的中断
Oracle默认符合此项。
1. 通过查看sysdba、sysoper权限被授予给了谁,非管理员账户是否可以中断审计进程,审计进程是否进行了保护。
2. 通过输入 alter system set audit_trail=none;
得出无法成功即符合。示例为sysdba最高权限管理员登录,能够进行操作。需要通过一个普通用户登录,查看此条命令是否能够执行,若能此项就不符合。
四、入侵防范
a) 应遵循最小安装的原则,仅安装需要的组件和应用程序
通过输入 select * from v$option;
得知安装的组件是否多余。value为true为安装了。
b) 应关闭不需要的系统服务、默认共享和高危端口
此项不适用,数据库不涉及此项。
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
通过查看oracle的安装路径中的sqlnet.ora文件查看tcp.validnode_checking/tcp/invited_nodes的配置是否为:
tcp.validnode_checking=yes
tcp,invited_nodes=() 得知是否设置了远程连接IP。
大部分未设置,基本都是通过远程管理操作系统间接远程数据库。
d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
此项不适用,数据库不涉及此项。
e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
1、 访谈管理员是否定期或不定期进行漏洞扫描或渗透测试,周期为 ( );
2、通过本次漏洞扫描是否发现与数据库相关的高危漏洞,若存在,是否及时进行漏洞修补。
f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
此项不适用,数据库不涉及此项。
五、恶意代码防范
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断
此项不适用,数据库不涉及此项。
六、可信验证
可基于可信根对计算设备的系统引导程序、
系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
通过访谈管理员,是否采取了可信技术,一般都是未采取。可信技术主要是基于可信芯片、可信根,硬件层面较多。但是现在市面上的产品尚未大量普及。
七、其他控制点
数据完整性、数据保密性、数据备份与恢复、剩余信息保护、个人信息保护均不在此处考虑,放在安全计算环境中的五类数据中统一体现。
坏后进行报警,并将验证结果形成审计记录送至安全管理中心
通过访谈管理员,是否采取了可信技术,一般都是未采取。可信技术主要是基于可信芯片、可信根,硬件层面较多。但是现在市面上的产品尚未大量普及。
七、其他控制点
数据完整性、数据保密性、数据备份与恢复、剩余信息保护、个人信息保护均不在此处考虑,放在安全计算环境中的五类数据中统一体现。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!