测等保2.0——Oracle访问控制

最新推荐文章于 2024-07-20 11:31:08 发布
最新推荐文章于 2024-07-20 11:31:08 发布
阅读量3k 收藏 16
点赞数 1
分类专栏: 医院信息资源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huang714/article/details/110948586
版权

测等保2.0——Oracle访问控制

 

一、前言

信息系统只要运行,就会产生数据,产生数据就需要存储,数据库就是所有信息系统所必需的,数据是信息系统最重要的东西,所以数据库的安全就是保障数据安全的重要屏障,现在市面上有许多数据库产品,其中使用比较广泛的就是Oracle数据库,今天我们就来讲一讲等保测评2.0中对Oracle数据库有哪些安全要求。

一项一项教你测等保2.0——Oracle访问控制

Oracle数据库

二、测评项

写到现在,其实等保2.0对于数据库的要求都是一样的,不同的是每个数据库都会有自己的实现方式,下面我们按照惯例列出等保2.0对于Oracle数据库在访问控制方面的要求。

a)应对登录的用户分配账户和权限;

b)应重命名或删除默认账户,修改默认账户的默认口令;

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;

d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

三、测评项a

a)应对登录的用户分配账户和权限;

从字面意思看,对登陆的用户分配账户和权限,既然已经登陆了,自然就存在账户了,这里的意思是一开始就有几个待分配的账户,当有用户需要使用这些账户时,就分配给该用户,至于权限问题,就必须存在至少两个账户,且这两个账户的权限不一样,才有分配权限的必要性。

四、测评项b

b)应重命名或删除默认账户,修改默认账户的默认口令;

Oracle在安装成功后会自动生成三个默认账户,分别是sys用户、scott用户和system用户,其中sys用户是超级用户,具有最高权限,具有sysdba角色,有create database的权限,该用户默认的密码是change_on_install;system用户是管理操作员,权限也很大,具有sysoper角色,没有create database的权限,默认的密码是manager,一般来讲,对数据库维护,使用system用户登录就可以了;scott是普通用户,密码是tiger。

根据本项要求需要重命名或者删除这三个默认账户,如果有需要就重命名及修改默认口令,但是实际情况是sys用户和system用户对于数据库有管理作用,删除后会对数据库产生一些影响,一般只做修改,而sys用户名修改又比较麻烦,只修改口令就可以了。

五、测评项c

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;

删除或停用多余的、过期的账户,这无话可说,但是没有好的方法确认哪些是多余的、过期的账户,只有通过访谈的方式一个一个账户的询问,如果被访谈人回答不上来这些账户的用途,就可以判断这些账户是多余的账户,但是无法避免被访谈人随便回答的用途。我们可以使用语句:

select * from all_users;

查看所有账户,当然前提是以管理员身份登录的。

共享账户就是多人使用一个账户的情况,这个也只能通过访谈的方式检查,结果无法考证,所以是避免,在测评的过程中也存在一个人使用多个账户的情况,那么这就存在多余账户的可能,当然这也都无法查证。

六、测评项d

d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

Oracle数据库中权限最大的是sys用户,如果只有一个sys管理用户肯定不符合要求,一般大家比较常见的权限划分方法就是三权分立,即系统管理员、安全管理员和审计管理员。

系统管理员

1、负责系统参数,如流程、表单的配置、维护和管理;

2、负责用户的注册、删除,保证用户标识符在系统生命周期的唯一性;

3、负责组织机构的变动调整,负责与用户权限相关的各 类角色的设置。

安全管理员

1、负责人员涉密等级和职务等信息调整和用户权限的分配;

2、负责保管所有除系统管理员以外的所有用户的ID标志符文件。安全保密管理员不能以其他用户身份登录系统;

3、不能查看和修改任何业务数据库中的信息;

4、负责用户审计日志以及安全审计员日志的查看,但不能增删改日志内容。

审计管理员

1、负责监督查看系统管理员、安全保密管理员和安全审计管理员的操作日志,但不能增删改日志内容;

2、负责定期备份、维护和导出日志。

我们可以通过语句:

select * from dba_sys_privs where grantee='sys' ORDER BY GRANTEE;

查询用户被赋予的系统权限,上班我们以sys用户为例,如下图所示:

一项一项教你测等保2.0——Oracle访问控制

sys用户权限

七、测评项e

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

这一项说白了就是查看数据库有没有专门负责给其他用户分配权限的用户,用我们前边“三权分立”的方法,就是查看有没有安全管理员,这个我们只能通过访谈的方式确认该用户的存在,可以通过之前的语句查看该用户确实有授予其他用户权限的权限。

八、测评项f

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

也就是说Oracle数据库可以给用户或者进程分配具体到可以访问哪个文件和哪张表的功能,其实Oracle数据库可以分配到更细,直接到表里的字段都可以,所以Oracle数据库是超标准默认符合该项要求,然而最大的问题是安全管理员并不在乎这个功能,最后导致形同虚设。

九、测评项g

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

这一项几乎不用看,基本没有符合要求的,但是Oracle确实提供了可以实现此项的插件:Oracle_Label_Security,但是由于安装此插件的硬件与软件要求,以及安装的费用、以后维护和实际使用价值都让绝大部分人望而却步,不过也不用太在意,因为这一个测评项不属于高风险项。

以上就是一项一项教你测等保2.0——Oracle访问控制的所有内容,希望对大家有所帮助,欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。

huang714
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
等保2.0评手册之Oracle
AI
05-25 1909
可以将本文等保2.0评手册之Oracle直接用于工作中,整改工作内容:控制点,安全要求,要求解读,评方法,预期结果或主要证据
oracle sysdba默认密码_一项一项教你等保2.0——Oracle访问控制
weixin_39584549的博客
12-06 3709
一、前言信息系统只要运行,就会产生数据,产生数据就需要存储,数据库就是所有信息系统所必需的,数据是信息系统最重要的东西,所以数据库的安全就是保障数据安全的重要屏障,现在市面上有许多数据库产品,其中使用比较广泛的就是Oracle数据库,今天我们就来讲一讲等保2.0中对Oracle数据库有哪些安全要求。Oracle数据库二、评项写到现在,其实等保2.0对于数据库的要求都是一样的,不同的是每个数据...
oracle等保
qq_48257021的博客
01-29 1483
在早期的 Oracle 版本中,字典视图的访问权限被限制在特定的系统角色(如 SYSDBA、SYSOPER)或特权用户(如 SYS)中。(该参数设置为false为符合,如果用户具有了any table权限,则可以访问除sys用户之外的其他用户的对象,也就无权访问数据字典基表。这样,可以在操作系统别定义和管理角色,然后在数据库中将其映射为数据库角色,以便进行数据库别的访问和权限控制。需要注意的是,操作系统授予的角色对应的操作系统用户或组需要在数据库中存在相应的用户账户,并与角色进行关联。
网络安全等保Oracle数据库
m0_59598029的博客
02-13 2736
*得出无法成功即符合。访谈管理员是否存在多余或过期账户,管理员用户与账户之间是否一一对应通过输入**Select username,account_status from dba_users;通过查看oracle的安装路径中的sqlnet.ora文件查看tcp.validnode_checking/tcp/invited_nodes的配置是否为: tcp.validnode_checking=yes tcp,invited_nodes=() 得知是否设置了远程连接IP。**查看审计日志的格式,默认符合。
Oracle数据库安全加固-内文附相关审批表
最新发布
qq_22893055的博客
07-20 1037
1)网络层面:在服务器接入交换机处设置ACL,仅允许某一个或某几个内网固定IP地址(如堡垒机地址)访问数据库服务器的1521端口。2)使用时进行记录,包括申请人、批准人、监督人、使用范围、使用时间、操作内容,参考附件2.2。2)如漏洞扫描报告中涉及高风险漏洞,则需要进行修复,直至漏洞扫描工具无法扫描出高危风险漏洞。1)从制度层面限制特权账户(如root)的使用,专人专管,一次一密,参考附件2.1。1)定期对数据库服务器进行漏洞扫描(至少半年一次),并出示漏洞扫描报告。1)漏洞扫描报告中不涉及高风险漏洞。
oracle sysdba 密码解释
10-25
oracle sysdba 密码解释,讲述oracle sysdba的密码机制,以及如何恢复,等操作。
Oracle初始账户密码
cddchina的专栏
08-26 1844
1.Oracle打开界面
sysdba密码_神通数据库默认密码:szoscar55
weixin_39834090的博客
12-10 5594
成功创建神通数据库实例后,系统通常为该实例默认创建三个用户:SYSDBA(数据库管理员用户)SYSAUDIT(审计用户)SYSSECURE(安全管理用户)初始密码均为”szoscar55”。启动停止神通数据库当成功安装神通数据库服务器端组件后,神通数据库服务将随操作系统启动而自动运行,如需手动启动系统或停止神通数据库服务,可通过以下方法实现:Windows 系列操作系统进入“Windows 服务管...
oracle 重置密码(一般电网,国企需要的二等保)
weixin_38168484的博客
09-21 149
oracle 10g,11g 可以查找以下,12c没有试 一、查看profile配置并记录;二、在重置密码之前修改profile(PASSWORD_REUSE_MAX、PASSWORD_REUSE_TIME、 PASSWORD_VERIFY_FUNCTION)三个参数以免发生报错;三、查询当前处于OPEN状态的用户,并自动生成重置密码的SQL,执行生成的SQL完成密码重置四、修改pr...
Oracle数据库访问控制
Plum_Rain的博客
12-03 756
1.创建用户    创建用户时必须用系统管理员身份登录,以HR用户为例: 输入用户名:HR AS SYSDBA 输入口令:1234 创建用户名为TEST的用户,密码为1234 CREATE USER TEST IDENTIFIED BY 1234; 2.更改用户密码    更改密码时可以用数据库管理员账户更改,也可以登录想要修改的账户给自己更改。 ALTER USER TEST ID
mysql等保评命令_等保2.0Oracle身份鉴别(上)
weixin_35123329的博客
01-28 734
一、说明本篇文章主要说一下Oracle数据库中身份验证控制点中关于身份鉴别的知识点,由于这个地方比较“复杂”,所以这篇文章就不写评项方面的东西了,放在下篇文章中。在oracle的身份验证这方面,网上的文章很多,但是真假难辨,而且没有把逻辑说清楚,所以如果不经过自己的试往往会得到错误的结论或者半对半错的结论。二、oracle的特性先说一下我使用的oracle的版本,是11g,装在redhat-7...
MYSQL、ORACLE、SQLSERVER、Postgres、Redis数据库等保评作业指导书V1.1
07-26
可适用于数据库等保评,数据库加固,数据库安全配置检查
JSP源码——[信息办公]共创在线考试试系统 v2.0_gczxks2.zip
10-06
【JSP源码——[信息办公]共创在线考试试系统 v2.0_gczxks2.zip】是一款基于Java Web技术构建的在线考试系统,专为信息办公环境设计,提供了全面的考试管理功能。该系统采用JSP(Java Server Pages)作为前端展示...
com.oracle.ojdbc14.10.2.0.5.0
06-19
6. **高特性**:如PL/SQL支持、游标、存储过程调用等,增强了对Oracle特有功能的访问。 **使用方法** 在Java应用程序中使用ojdbc14驱动,需要将对应的jar文件(如ojdbc14.jar)添加到项目的类路径中,然后可以...
【安全服务】windows/Linux安全基线检查|等保2.0安全技术评指导
热门推荐
kkza的博客
08-13 1万+
一 身份鉴别 1 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 (1)对登录用户进行身份标识和鉴别,即登录时需要账号密码 -- win+R,输入netplwiz,按下列指示勾选内容 (2)身份标识具有唯一性,不同用户之间账号不能一样 (3)身份鉴别信息具有复杂度并且定期更换 一般指的是密码,应该设置密码策略,规定密码形式、长度、至少更改时间等 --计算机管理-本地用户和组-用户,关闭密码永不过期 -- 控制面板->管理工...
Web安全-等保评_db2等保评命令(2)
2401_84297796的博客
04-28 1017
和之前的由DBA管理用户权限不同的是,他们在数据库原有的权限管理之外,对数据的访问控制做更周密和灵活的规则设置。我们想象一下,如果有人可以执行管理数据的操作,有人负责控制管理数据的规则,另外还有人监督和审计前两类人的行为,那么权力过度集中的问题就可以通过互相制约被解决。这些超用户数据库创建过程中的缺省用户,可以认为是数据库中的“造物主”,因为所有新的用户都是由他们创建的。但是过度集中的权力都会带来问题,当超用户拥有最高权力的时候,意味着他或她可以做任何想做的事,而且可以不留下任何痕迹。
oracle11g sysdba密码,oracle dba账号忘记了oracle11g的system、sys用户密码,肿么办?
weixin_29219189的博客
04-06 2080
启动sqlplus请输入用户名: sqlplus/as sysdba输入口令: 直接回车连接到: oracle database 11g enterprise edition release 11.2.0.1.0 – production with the partitioning, olap, data mining and real application testing optionssql...
Oracle管理员密码忘记sysdba密码
qq_43476358的博客
12-16 1107
方法前述准备:需要管理员权限的cmd窗口,否则会遇到下图问题。 这儿用的powershell,权限和win+R–cmd相同。 切换到 orapwd.exe file=E:\app\Administrator\product\11.2.0\dbhome_1\database\PWDorcl.ora password=oracle force=y ...
等保评-Oracle数据库
mashiro_hibiki的博客
03-30 1666
核查数据库系统用户鉴别信息(如口令)是否以密文形式存储,Oracle数据库系统一般对用户口令进行 SHA 加密后存储。核查是否采用了 SM3、SHA256、SHA512等摘要算法对鉴别口令数据进行完整性计算后存储在数据表中。核查用户登录数据库外是否还需要动态令牌等另一种验证,oracle一般默认不符合。询问是否有数据库审计设备,并将该数据库资产加入进去,或其他备份方式。核查非审计管理员用户能否中断审计进程,若未进行三权分立,则为超管。可信验证需要从芯片等硬件层面进行,在金融行业少数能实现,默认不符合。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值