信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
服务器设备Oracle
身份鉴别
L3-CES1-01
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
1)访谈数据库管理员,系统用户是否已设置密码,并查看登录过程中系统账户是否使用了密码进行验证登录。
2)查看是否启用口令复杂度函数等
L3-CES1-02
应具有登录失败处理功能,请配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
1)是否启用登录失败限制策略
2)是否启用登录失败锁定策略
3)是否启用登录超时退出策略
L3-CES1-03
当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
1)查看initSTD.ora中REMOTE_OS_AUTHENT的赋值
2)查看listener.ora中的项目赋值
3)执行 show parameter remote_login_passwordfile。
L3-CES1-04
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
访问控制
L3-CES1-05
应对登录的用户分配账户和权限。
查看每个登录用户的角色和权限,是否是该用户所需的最小权限。
L3-CES1-06
应重命名或删除默认账户,修改默认账户的默认口令。
以默认口令验证默认账户是否可以登录
L3-CES1-07
应及时删除或停用多余的、过期的账户,避免共享账户的存在
1)查看是否存在过期账户,询问数据库管理员是否每个账户均为正式、有效的账户。
2)询问是否存在多人共享的账户的情况。
3)每个数据库账户应与实际