【Oracle数据库测评指南】

已于 2024-02-21 13:22:46 修改
阅读量924 收藏 22
点赞数 17
分类专栏: 网络安全等级保护 文章标签: oracle 数据库
于 2024-02-21 13:21:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MD994/article/details/136206894
版权

Oracle数据库

  • 查看数据库版本
select* from v$version;
select * from product_component_version;

身份鉴别

  • 查看登录数据库的用户信息
select username,account_status from dba_users;

注:1.为用户分配了账户和权限及相关设置情况,主要看可用账户(例如采用“用户权限列表”);
2.是否已禁用或限制匿名、默认账户的访问权限。
如只有MGMT_UIEW,SYSTEM,SYS,DBSNMP为启用状态,其他均为启用状态,则为符合。

  • 查看口令复杂度
select * from dba_profiles where resource_type='password';

注:若为NULL则为未设置

PASSWORD_LOGIN_ATTEMPTS =登录尝试次数
PASSWORD_LIFE_TIME = unlimited未设置口令有效期
PASSWORD_ROUSE_MAX = unlimited未设置重新启用一个先前用过的口令前必须对该口令进行重新设置的次数(重复用的次数)
PASSWORD_VERIFY_FUNCITON = NULL未设置口令复杂度
PASSWORD_GRACE_TIME=口令修改的宽限期天数

查看登陆失败连接超时

select * from dba_profiles;

注:查看FAILED_LOGIN_ATTEMPTS和PASSWORD_LOCK_TIME参数即可,其最小值分别为10(次)和1(天),某账户即连续登录失败10次则锁定1天。

SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE= ' DEFAULT' AND RESOURCE_NAME='FAILED_LOGIN_ATTEMPTS'

注:查询结果若为’UNLIMITED’则无登录重试次数限制,可以通过ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 10(重试次数10次)

SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE= 'DEFAULT' AND RESOURCE_NAME= 'PASSWORD_ LOCK_TIME'

注: 查询结果若为’UNLIMITED’则无登录失败次数锁定限制,可以通过ALTER PROFILE DEFAULT LIMIT PASSWORD_LOCK_TIME 1/24(重试失败后锁定一天)

SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE='DEFAULT' AND RESOURCE_NAME='IDLE_TIME';

注:查询结果若为’UNLIMITED’则无登录超时限制

访问控制

  • 查看能登录数据库的用户信息:
select username,account_status from dba_users;

注:1.看可用账户及对应权限;
2.是否已禁用或限制匿名、默认账户的访问权限。如只有MGMT_UIEW,SYSTEM,SYS,DBSNMP为启用(OPEN)状态,其他均未启用(expired&locked)状态,则为符合。
3.访谈管理员是否已经重命名SYS、SYSTEM、DBSNMP等默认帐户名或是否修改默认口令,核查是否存在多余、过期账户
* SYS默认口令为CHANGE_ON_INSTALL;
* SYSTEM:MANAGER;
* DBSNMP的默认口令为:DBSNMP。可以登录测试。

  • g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问

通过访谈数据库管理员: 是否对重要主体和客体设置安全标记。 oracle自身应该不具备这个功能,可能要依靠操作系统或者第三方的什么软件如Oracle_Label_Security来实现了。该项一般默认都不符合。

安全审计

   show parameter audit_trail;

注:返回值默认为DB,即为普通用户开启审计功能,若为none则为未开启状态;

  select * from dba_stmt_audit_opts;和select * from dba_priv_audit_opts;

注:返回结果如User_Name为空值,对这些重要事件开启审计并且这个审计是针对所有用户的,符合要求

 show parameter audit_sys_operations;

注:返回结果 audit_sys_operations boolean FALSE 则未对SYSDBA或SYSOPER特权连接时直接发出的SQL语句进行审计,默认为FALSE

  • 查看审计记录 javascriptselect * from aud$; 默认符合。

(输入show parameter dump_dest 得出backgroup_dump_dest的值为日志文件的位置)

  • 是否对审计记录进行定期备份,采用的技术措施及备份策略是怎么样的?如通过syslog端口导入到日志服务器。
  • d) 应对审计进程进行保护,防止未经授权的中断
    注:Oracle默认符合此项。

入侵防范

  • c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

注:通过查看oracle的安装路径中的sqlnet.ora文件查看tcp.validnode_checking/tcp/invited_nodes的配置是否为:
tcp.validnode_checking=yes
tcp,invited_nodes=() 得知是否设置了远程连接IP。
大部分未设置,基本都是通过远程管理操作系统间接远程数据库。

  • e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
    注:访谈是否进行定期漏扫

数据备份恢复

  • 是否对数据库进行本地备份,具体备份位置,备份周期,并且是否做过恢复性测试
  • 是否做了异地实时备份(异地位置)
  • 是否对数据库采用热冗余方式部署

个人信息保护

  • 个人信息加密措施(具体加密算法)
饭后百步走
关注
专栏目录
等保2.0测评手册之Oracle
AI
05-25 1956
可以将本文等保2.0测评手册之Oracle直接用于工作中,整改工作内容:控制点,安全要求,要求解读,测评方法,预期结果或主要证据
Oracle数据库测试
09-13
Oracle数据库测试。。。。。。。。。。。
oracle数据库安全测试工具,Oracle数据库安全测评指导书
weixin_30824577的博客
04-04 666
2013年整理序号评测指标评测项检测方法预期结果覆盖每个用户手工检查 1)执行 select value from v$parameter where name='audit_trail',查看是否开启审计功能;应开启审计功能,并对每个用户的操作都有记 2)用不同的用户登录数据库系统并进行不同的操作,在 Oracle数录。据库中查看日志记录是否满足要求。手工检查执行如下命令,并记录输出结果。 sh...
云上Oracle 数据库本地备份部署测试
最新发布
听雪楼主
08-29 837
云上Oracle 数据库本地备份部署测试
oracle测试数据
01-26
oracle测试数据 直接复制粘贴运行即可使用
oracle数据库测评.md
10-11
oracle数据库测评方法文档个人总结,记录在Oracle数据库测评过程中所需要的方法和结果总结
Oracle进行模拟测试数据的一个例子
weixin_34415923的博客
10-22 89
-- 'u', 'U' - 返回全是大写的字符串 -- 'l', 'L' - 返回全是小写的字符串 -- 'a', 'A' - 返回大小写结合的字符串 -- 'x', 'X' - 返回全是大写和数字的字符串 -- 'p', 'P' - 返回键盘上出现字符的随机组合 SELECT  trunc(dbms_random.value(1,101)),  DBMS_RANDOM...
2024年数据库选型指南
weixin_44046260的博客
03-25 935
本章将分别介绍关系型数据库、NoSQL数据库、NewSQL数据库、内存数据库和时序数据库等领域的主流数据库产品,并分析其适用场景、优缺点等。
AMESim工程系统仿真指南:高级建模与Oracle数据库安全
"通过永久的工具条按钮来使用工具-oracle数据库安全测评指导书" 在AMESim这款工程系统仿真软件中,用户可以通过工具条上的按钮方便地在不同操作模式之间切换,以适应不同的设计和分析需求。本文主要探讨的是如何...
Oracle11g三级安全测评指南:身份鉴别与口令管理
- a) 用户身份标识与鉴别:测评时,需要检查Oracle数据库系统中是否存在空口令或默认口令的用户。Oracle虽然在安装时已经避免了默认口令,但应定期检查并禁止使用这些已知的弱口令。例如,sys、system、sysman、...
AMESim 4.2:设计开发对话框与数据库安全测评指南
设计开发对话框 - Oracle数据库安全测评指南书主要介绍了AMESim 4.2这一款强大的工程系统仿真高级建模工具。AMESim的核心在于其直观的图形界面,它允许用户通过图标符号构建复杂的工程系统模型,这些符号遵循国际...
测试连接oracle数据库
06-26
遇到oracle11g和12c的时候是很头疼的问题,所以用object6+jdk1.6的是很好的解决方案,大家可以下载下来试试,有问题欢迎提问
MYSQL、ORACLE、SQLSERVER、Postgres、Redis数据库等保测评作业指导书V1.1
07-26
可适用于数据库等保测评数据库加固,数据库安全配置检查
Oracle连接测试
03-17
NULL 博文链接:https://yesmeshtu2008-163-com.iteye.com/blog/576993
oracle测评手册
master_jian的博客
02-08 1605
oracle数据库,默认端口是1521 登录oracle数据库 su - oracle # 切换到oracle用户 cd /home/oracle11g/11g # 进入11g目录,启动oracle数据库 sqlplus / as sysdba # 该命令在上述准备工作做好之后,就可以进入到数据库了 查看数据库版本 select * from v$version; 看密码复杂度 select limit from dba_profiles where profile='DEFAULT’and
Oracle表练习测试数据
aibohao6338的博客
01-24 510
-- 创建表空间create tablespace waterbossdatafile 'C:\waterboss.dbf'size 100Mautoextend on next 10M;-- 创建用户create user wateruseridentified by rootdefault tablespace waterboss;-- 给wateruser赋予权限grant db...
等保测评2.0_三级——【安全计算环境】Oracle数据库测评项汇总
xwjjdedkdjcjej的博客
05-04 1248
等保测评2.0_三级——【安全计算环境】Oracle数据库测评项汇总
oracle数据库性能查询
编程之路
10-26 1019
作为一个开发/测试人员,或多或少都得和数据库打交道,而对数据库的操作归根到底都是SQL语句,所有操作到最后都是操作数据,那么对sql性能的掌控又成了我们工作中一件非常重要的工作。下面简单介绍下一些查看oracle性能的一些实用方法: 1、查询每台机器的连接数 select t.MACHINE,count(*) from v$session t group by t.MACHINE
oracle练习的数据
zhou920786312的博客
05-03 698
/*创建数据/create table student( sno varchar2(10) primary key, sname varchar2(20), sage number(2), ssex varchar2(5) ); create table teacher( tno varchar2(10) primary key, tname varchar2(20) ); cr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值