等保测评--计算环境之服务器设备安全（二）

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。

服务器设备Oracle

身份鉴别

L3-CES1-01

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。
1）访谈数据库管理员，系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录。
2）查看是否启用口令复杂度函数等

L3-CES1-02

应具有登录失败处理功能，请配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
1）是否启用登录失败限制策略
2）是否启用登录失败锁定策略
3）是否启用登录超时退出策略

L3-CES1-03

当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。
1）查看initSTD.ora中REMOTE_OS_AUTHENT的赋值
2）查看listener.ora中的项目赋值
3）执行 show parameter remote_login_passwordfile。

L3-CES1-04

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

访问控制

L3-CES1-05

应对登录的用户分配账户和权限。
查看每个登录用户的角色和权限，是否是该用户所需的最小权限。

L3-CES1-06

应重命名或删除默认账户，修改默认账户的默认口令。
以默认口令验证默认账户是否可以登录

L3-CES1-07

应及时删除或停用多余的、过期的账户，避免共享账户的存在
1）查看是否存在过期账户，询问数据库管理员是否每个账户均为正式、有效的账户。
2）询问是否存在多人共享的账户的情况。
3）每个数据库账户应与实际