Oracle数据库等保测评配置介绍

已于 2024-07-29 11:26:51 修改
阅读量237 收藏 1
点赞数
分类专栏: 运维日常 文章标签: 数据库 oracle
于 2024-07-29 11:25:44 首次发布
原文链接:https://blog.itpub.net/29785807/viewspace-3005395/
版权

文章目录

出处:来自 “ ITPUB博客 ” ,链接:https://blog.itpub.net/29785807/viewspace-3005395/

本次内容主要讲解如下五部分:

1.密码策略
2.审计
3.权限
4.连接超时
5.加密

一:密码策略

查询语句:

set line 300
col profile for a10
col resource_name for a25
col limit for a20
select * from dba_profiles where profile='DEFAULT' and resource_type='PASSWORD';

示例如下:
在这里插入图片描述
说明:

  1. 最大错误登录次数
    (用户密码连续输入错误10次,用户自动锁定)

FAILED_LOGIN_ATTEMPTS LIMIT 10

  1. 密码过期时间
    (用户密码,180内没有修改,用户自动锁定)

PASSWORD_LIFE_TIME 180

  1. 口令重用时间间隔
    单位 天 (表示口令不能重用之前多少天之内使用的密码)

PASSWORD_REUSE_TIME UNLIMITED

  1. 口令被重用之前密码改变的次数
    (在达到PASSWORD_REUSE_TIME指定时间后,要再次使用同一口令的次数)

PASSWORD_REUSE_MAX UNLIMITED

  1. 口令复杂度审计函数
    PASSWORD_VERIFY_FUNCTION NULL

  2. 登录超过有效次数锁定时间
    单位天

PASSWORD_LOCK_TIME 1

  1. 口令延续使用时间
    用户口令使用时间超过生命周期 (PASSWORD_LIFE_TIME)后,可以延续使用的天数,并且延续期间,登录会有相应口令即将过期的提示,单位天。

PASSWORD_GRACE_TIME 7

  1. PROFILE管理
    创建 profile

create_profile ::=
在这里插入图片描述
resource_parameters ::=
在这里插入图片描述

password_parameters ::=
在这里插入图片描述

创建新的 PROFILE

限制如下:

1.FAILED_LOGIN_ATTEMPTS 5,密码连续输入错误5次,用户自动锁定;

2.PASSWORD_LIFE_TIME 60,密码过期时间60天;

3.PASSWORD_REUSE_TIME 60,口令重用时间间隔60天;

4.PASSWORD_REUSE_MAX 5,口令被重用之前密码改变的次数;

5.PASSWORD_VERIFY_FUNCTION 口令复杂度审计函数verify_function,要求密码必须包含至少一个数字,一个字符和一个标点符号,长度至少为4;;

6.PASSWORD_LOCK_TIME 1/24,登录超过有效次数锁定时间,1小时;

7.PASSWORD_GRACE_TIME 10,用户口令使用时间超过生命周期(PASSWORD_LIFE_TIME)后,可以延续使用的天数,1小时;
创建:

CREATE PROFILE CJC_PROFILE LIMIT
FAILED_LOGIN_ATTEMPTS 5
PASSWORD_LIFE_TIME 60
PASSWORD_REUSE_TIME 60
PASSWORD_REUSE_MAX 5
PASSWORD_VERIFY_FUNCTION verify_function
PASSWORD_LOCK_TIME 1/24
PASSWORD_GRACE_TIME 10;
其中,配置 PASSWORD_VERIFY_FUNCTION前需要执行utlpwdmg.sql,否则报错如下:

ORA-07443: function VERIFY_FUNCTION not found

执行:

SQL> @?/rdbms/admin/utlpwdmg.sql
创建:

CREATE PROFILE CJC_PROFILE LIMIT
FAILED_LOGIN_ATTEMPTS 5
PASSWORD_LIFE_TIME 60
PASSWORD_REUSE_TIME 60
PASSWORD_REUSE_MAX 5
PASSWORD_VERIFY_FUNCTION verify_function
PASSWORD_LOCK_TIME 1/24
PASSWORD_GRACE_TIME 10;
其中,配置 PASSWORD_VERIFY_FUNCTION前需要执行utlpwdmg.sql,否则报错如下:

ORA-07443: function VERIFY_FUNCTION not found

执行:

SQL> @?/rdbms/admin/utlpwdmg.sql

创建用户,指定新建的 profile。

create_user ::=
在这里插入图片描述
创建:

CREATE USER CJC
IDENTIFIED BY "C2a!"
DEFAULT TABLESPACE CJC
TEMPORARY TABLESPACE temp
PROFILE CJC_PROFILE;

查看用户 PROFILE

SQL> select USERNAME,DEFAULT_TABLESPACE,PROFILE from dba_users where username='CJC';
USERNAME        DEFAULT_TABLESPACE       PROFILE
------------------------------ ------------------------------ -----------------------------------
CJC        CJC       CJC_PROFILE

测试,连续输错 5次,密码用户被锁定

SQL> conn cjc/a
ERROR:
ORA-01017: invalid username/password; logon denied
SQL> conn cjc/a
ERROR:
ORA-01017: invalid username/password; logon denied
SQL> conn cjc/a
ERROR:
ORA-01017: invalid username/password; logon denied
SQL> conn cjc/a
ERROR:
ORA-01017: invalid username/password; logon denied
SQL> conn cjc/a
ERROR:
ORA-01017: invalid username/password; logon denied
SQL> conn cjc/a
ERROR:
ORA-28000: the account is locked
修改 PROFILE

SQL> 
alter profile CJC_PROFILE limit FAILED_LOGIN_ATTEMPTS 2;

测试:

SQL> alter user cjc account unlock;
SQL> conn cjc/a
ERROR:
ORA-01017: invalid username/password; logon denied
Warning: You are no longer connected to ORACLE.
SQL> conn cjc/a
ERROR:
ORA-01017: invalid username/password; logon denied
SQL> conn cjc/a
ERROR:
ORA-28000: the account is locked

默认密码

查询使用默认密码的用户

SET PAGESIZE 100;
SELECT * FROM DBA_USERS_WITH_DEFPWD;

示例如下:
在这里插入图片描述
密码认证方式

SELECT NAME,VALUE,DESCRIPTION FROM V$PARAMETER2 WHERE NAME in ('remote_os_authent','os_authent_prefix');

限制操作系统认证方式

vi sqlnet.ora   新增:

SQLNET.AUTHENTICATION_SERVICES=(NONE)

测试

sqlplus / as sysdba

报错: ORA-01017: invalid username/password: logon denied

限制访问来源

cd  $ORACLE_HOME/network/admin

vi  sqlnet.ora

#开启IP限制功能
tcp.validnode_checking=yes
#允许访问数据库IP地址列表
tcp.invited_nodes = ( IP1,IP2,IP3 )

重启监听
lsnrctl stop
lsnrctl start
lsnrctl reload

登录测试

sqlplus username/pass@IP1:port/dbname
不在白名单的 IP无法登录数据库

报错:

ORA-12547: TNS:lost contact

查看 监听日志 listener.log
在这里插入图片描述

二:审计

强制审计

强制性审计包括以下操作:

1.数据库启动。

将生成一条审计记录,其中列出了启动实例的操作系统用户、用户终端标识符以及日期和时间戳。

此数据存储在操作系统审计跟踪中,因为数据库审计跟踪在成功完成启动后才可用。

2.SYSDBA和SYSOPER登录。

Oracle数据库记录所有SYSDBA和SYSOPER连接。

3.数据库关闭。

将生成一个审计记录,其中列出了关闭实例的操作系统用户、用户终端标识符以及日期和时间戳。

也就是说,即使 AUDIT_SYS_OPERATIONS参数设置为FALSE,也会将管理员权限连接、启动、关闭数据库操作记录到audit_file_dest指定的文件夹中。

审计文件目录

O R A C L E B A S E / a d m i n / ORACLE_BASE /admin/ ORACLEBASE/admin/ORACLE_SID/adump
在这里插入图片描述
数据库关闭的审计日志
在这里插入图片描述
启动的审计记录
在这里插入图片描述

标准审计

检查审计参数,确认已开启审计

SHOW PARAMETER AUDIT_TRAIL ;
在这里插入图片描述
AUDIT_TRAIL参数说明 :

1.DB

将审计记录到数据库审计跟踪 表 ( SYS.AUD$),但强制和SYS审计记录除外,这些记录始终写入操作系统审计跟踪 文件 。 DB是AUDIT_TRAIL参数的默认设置。

2.DB,EXTENDED

行为与 AUDIT_TRAIL=DB相同,但也填充SYS.AUD$表的SQL绑定和SQL文本CLOB类型列(如果可用)。

DB,EXTEND使您能够捕获在已审计的操作中使用的SQL语句。

您可以捕获导致审计的 SQL语句和任何关联的绑定变量。

但是,请注意,您只能从以下列数据类型捕获数据: CHAR、NCHAR、VARCHAR、VAR CHAR2、NVARCHAR2、NUMBER、FLOAT、BINARY_FLOAT、BINARY_DOUBLE、LONG、ROWID、DATE、TIMESTAMP和TIMESTAMP WITH TIMEZONE。

还要注意, DB,EXTEND可以捕获敏感数据,如信用卡信息。

3.OS

将所有审计记录定向到操作系统文件。

4.XML

以 XML格式写入操作系统审计记录文件。

记录中 XML模式给定的AuditRecord节点的所有元素除了Sql_Text和Sql_Bind到操作系统XML审计文件之外。

5.XML, EXTENDED

行为与 AUDIT_TRAIL=XML相同,但也在操作系统XML审计文件中包含SQL文本和SQL绑定信息。

6.NONE

禁用标准审计。

1. 语句审计

Statement

审计影响特定类型数据库对象的特定 SQL语句或语句组。

例如, AUDIT TABLE审计CREATE TABLE、TRUNCATE TABLE、COMMENT ON TABLE和DELETE[FROM]TABLE语句。

示例如下:

审计 CJC用户,DELETE,UPDATE操作

AUDIT DELETE TABLE,UPDATE TABLE BY CJC BY ACCESS;

查询语句审计配置信息


SET LINE 300
SET PAGESIZE 100
SELECT USER_NAME,AUDIT_OPTION,SUCCESS,FAILURE FROM DBA_STMT_AUDIT_OPTS;

生成测试数据

CONN CJC/***
CREATE TABLE T0124(ID INT);
INSERT INTO T0124 VALUES(1);
COMMIT;
UPDATE T0124 SET ID=100 WHERE ID=1;
DELETE FROM T0124 WHERE ID=0;
COMMIT;

查看审计记录

SET LINE 300
COL USERNAME FOR A15;
COL OBJ_NAME FOR A15;
COL AUDIT_OPTION FOR A15;
COL TERMINAL FOR A15
SELECT USERNAME,TO_CHAR(TIMESTAMP,'YYYYMMDD HH24:MI:SS') TIMESTAMP,OBJ_NAME,ACTION_NAME FROM DBA_AUDIT_TRAIL;

删除审计策略

#NOAUDIT ALL STATEMENTS; 不生效
#NOAUDIT ALL STATEMENTS BY CJC BY ACCESS; 不生效
NOAUDIT DELETE TABLE,UPDATE TABLE BY CJC;

检查

SET LINE 300
SET PAGESIZE 100
SELECT USER_NAME,AUDIT_OPTION,SUCCESS,FAILURE FROM DBA_STMT_AUDIT_OPTS;

查看是否有新增审计记录

SET LINE 300
SET PAGESIZE 100
SELECT USER_NAME,AUDIT_OPTION,SUCCESS,FAILURE FROM DBA_STMT_AUDIT_OPTS;

注意:如果是在当前 session执行操作,还会记录审计,需要退出重新连接。

2. 权限审计

Privilege

审计由指定系统权限授权的 SQL语句。

例如, AUDIT CREATE ANY TRIGGER审计使用CREATE ANY TRIPGER系统权限发出的语句。

SELECT USER_NAME,FAILURE FROM DBA_STMT_AUDIT_OPTS WHERE AUDIT_OPTION='CREATE SESSION';

未开启 FAILURE = BY ACCESS 表示对连接失败的进行审计,BY ACCESS表示每条记录一次 而不是 BY SESSION没有会话记录一次

示例如下:

审计授予 DELETE ANY TABLE 权限的操作

AUDIT DELETE ANY TABLE BY ACCESS;

查询语句审计配置信息

SET LINE 300
SET PAGESIZE 100
SELECT USER_NAME,PRIVILEGE,SUCCESS,FAILURE FROM DBA_PRIV_AUDIT_OPTS;

生成测试数据

GRANT DELETE ANY TABLE TO CJC;
GRANT DELETE ANY TABLE TO CHEN;
GRANT SELECT ON CJC.T0124 TO TESTUSER;

查看审计数据

SET LINE 300
COL USERNAME FOR A15;
COL OBJ_NAME FOR A15;
COL AUDIT_OPTION FOR A15;
COL TERMINAL FOR A15
SELECT USERNAME,TO_CHAR(TIMESTAMP,'YYYYMMDD HH24:MI:SS') TIMESTAMP,OBJ_NAME,ACTION_NAME FROM DBA_AUDIT_TRAIL;

3. 对象审计

Object

审计特定对象上的特定语句,例如 HR.EMPLOYEES表上的ALTER TABLE。

AUDIT SELECT,INSERT,DELETE ON CJC.T0124 BY ACCESS WHENEVER SUCCESSFUL;


SET LINE 300
SET PAGESIZE 100
COL OWNER FOR A15
COL OBJECT_NAME FOR A15
COL OBJECT_TYPE FOR A15
SELECT OWNER,OBJECT_NAME,OBJECT_TYPE,SEL,DEL,INS,FBK FROM DBA_OBJ_AUDIT_OPTS;
CONN CJC/******
SELECT * FROM CJC.T0124;

查看审计数据

SET LINE 300
COL USERNAME FOR A15;
COL OBJ_NAME FOR A15;
COL AUDIT_OPTION FOR A15;
COL TERMINAL FOR A15
SELECT USERNAME,TO_CHAR(TIMESTAMP,'YYYYMMDD HH24:MI:SS') TIMESTAMP,OBJ_NAME,ACTION_NAME FROM DBA_AUDIT_TRAIL;

在这里插入图片描述
4. 网络审计
Network

审计网络协议中的意外错误或网络层中的内部错误。

审计语句执行:成功、失败或两者都有

可审计网络错误条件

Table 9-4 Auditable Network Error Conditions
TNS-02507
Encryption algorithm not installed
TNS-12648
Encryption or data integrity algorithm list empty
TNS-12649
Unknown encryption or data integrity algorithm
TNS-12650
No common encryption or data integrity algorithm

添加审计

AUDIT NETWORK BY ACCESS;

查看审计数据

SET LINE 300
COL USERNAME FOR A15;
COL OBJ_NAME FOR A15;
COL AUDIT_OPTION FOR A15;
COL TERMINAL FOR A15
SELECT USERNAME,TO_CHAR(TIMESTAMP,'YYYYMMDD HH24:MI:SS') TIMESTAMP,OBJ_NAME,ACTION_NAME FROM DBA_AUDIT_TRAIL;

三:权限

查询具有 SYSDBA 权限的用户

SELECT * FROM V$PWFILE_USERS;

查询具有 DBA 角色的用户

检查数据库内是否有自定义的权限过大的角色

SELECT GRANTEE,GRANTED_ROLE,ADMIN_OPTION,DEFAULT_ROLE FROM DBA_ROLE_PRIVS WHERE GRANTED_ROLE='DBA';

查询角色对应的权限

SELECT ROLE,PRIVILEGE FROM ROLE_SYS_PRIVS WHERE ROLE IN ('CONNECT','RESOURCE') ORDER BY ROLE;

查询系统权限

SELECT GRANTEE,PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE IN ('CJC') ORDER BY 1;

查询对象权限

SELECT GRANTEE,PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE IN ('CJC') ORDER BY 1;
GRANT SELECT ON SYS.T1 TO CJC;
SELECT GRANTEE,PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE IN ('CJC') ORDER BY 1;

查询表权限查询

测试:

GRANT DELETE ON CJC.T0124 TO SYSTEM;
SELECT UNIQUE GRANTEE, TABLE_NAME FROM DBA_TAB_PRIVS
WHERE
(PRIVILEGE='INSERT' OR
PRIVILEGE='UPDATE' OR
PRIVILEGE='ALTER' OR
PRIVILEGE='DELETE' OR
PRIVILEGE='EXECUTE') AND OWNER='CJC';

四:连接超时

CONNECT_TIME

指定会话的总运行时间限制,以分钟为单位。

IDLE_TIME

指定会话期间允许的连续非活动时间段,以分钟为单位。长时间运行的查询和其他操作不受此限制。

查看资源限制

SQL> select * from dba_profiles where resource_name in ('IDLE_TIME','CONNECT_TIME');

在这里插入图片描述```sql
SQL> show parameter resource_limit
NAME TYPE VALUE

resource_limit boolean FALSE

启动资源限制
```sql
ALTER SYSTEM SET RESOURCE_LIMIT=TRUE;

IDLE_TIME

SQL> alter profile CJC_PROFILE limit IDLE_TIME 1;
SQL> conn cjc/"C2a!"
Connected.
SQL> show user
USER is "CJC"
---等1分钟以后
SQL> select distinct sid from v$mystat;
select distinct sid from v$mystat
*
ERROR at line 1:
ORA-02396: exceeded maximum idle time, please connect again

如果有长时间未提交的事物,会被自动回退。

CONNECT_TIME

SQL>
begin
dbms_lock.sleep(65);
dbms_output.put_line('cjc');
end;
/
ERROR at line 1:
ORA-02399: exceeded maximum connect time, you are being logged off
ORA-06512: at "SYS.DBMS_LOCK", line 205
ORA-06512: at line 2

会话自动关闭

set line 300
col event for a35
select sid,SERIAL#,status,LAST_CALL_ET,event from v$session where sid=1;

未提交的事物会自动回退

SQL> insert into t1 values(2);
1 row created.
----1分钟以后提交
SQL> commit;
commit
*
ERROR at line 1:
ORA-02399: exceeded maximum connect time, you are being logged off

五:加密

传输加密

查看加密组件

[oracle@cjc-db-01 admin]$ adapters
Installed Oracle Net transport protocols are:
IPC
BEQ
TCP/IP
SSL
RAW
SDP/IB
Installed Oracle Net naming methods are:
Local Naming (tnsnames.ora)
Oracle Directory Naming
Oracle Host Naming
Oracle Names Server Naming
Installed Oracle Advanced Security options are:
RC4 40-bit encryption
RC4 56-bit encryption
RC4 128-bit encryption
RC4 256-bit encryption
DES40 40-bit encryption
DES 56-bit encryption
3DES 112-bit encryption
3DES 168-bit encryption
AES 128-bit encryption
AES 192-bit encryption
AES 256-bit encryption
MD5 crypto-checksumming
SHA-1 crypto-checksumming
Kerberos v5 authentication
RADIUS authentication

语法如下:

服务端 :

SQLNET.ENCRYPTION_SERVER = [accepted | rejected | requested | required]
SQLNET.ENCRYPTION_TYPES_SERVER = (valid_encryption_algorithm [,valid_encryption_algorithm])

客户端 :

SQLNET.ENCRYPTION_CLIENT = [accepted | rejected | requested | required]
SQLNET.ENCRYPTION_TYPES_CLIENT = (valid_encryption_algorithm [,valid_encryption_algorithm])

示例如下:

临时打开 trace sqlnet,用于查看传输加密信息:

vi $ORACLE_HOME/network/admin/sqlnet.ora
#Trace file setup
trace_level_server=16
trace_level_client=16
trace_directory_server=/home/oracle/trace
trace_directory_client=/home/oracle/trace
trace_file_client=cli
trace_file_server=srv
trace_unique_client=true
diag_adr_enabled = off

重新 reload

lsnrctl reload

连接数据库

[oracle@cjc-db-01 ~]$ sqlplus 'cjc/"C2a!"@192.168.1.5:1521/cjc'

查询

SQL> select * from t1;
ID NAME
---------- ----------
 1 aaacjcaaa

查看跟踪文件

[oracle@cjc-db-01 ~]$ cd /home/oracle/trace/
[oracle@cjc-db-01 trace]$ ls -lrth
total 640K
-rw-r----- 1 oracle oinstall 159K Jan 27 13:59 srv_19599.trc
-rw-r----- 1 oracle oinstall 197K Jan 27 13:59 cli_19597.trc

SQL语句是明文的,默认没有加密

[oracle@cjc-db-01 trace]$ vi cli_19597.trc
.....
(4158699328) [27-JAN-2024 14:08:16:596] nsbasic_bsd: packet dump
(4158699328) [27-JAN-2024 14:08:16:596] nsbasic_bsd: 01 12 00 00 06 00 00 00 |........|
(4158699328) [27-JAN-2024 14:08:16:596] nsbasic_bsd: 00 00 03 5E 15 61 80 00 |...^.a..|
(4158699328) [27-JAN-2024 14:08:16:596] nsbasic_bsd: 00 00 00 00 00 FE FF FF |........|
(4158699328) [27-JAN-2024 14:08:16:596] nsbasic_bsd: 00 00 00 00 00 00 00 00 |........|
(4158699328) [27-JAN-2024 14:08:16:596] nsbasic_bsd: 00 00 00 00 00 10 73 65 |......se|
(4158699328) [27-JAN-2024 14:08:16:596] nsbasic_bsd: 6C 65 63 74 20 2A 20 66 |lect.*.f|
(4158699328) [27-JAN-2024 14:08:16:596] nsbasic_bsd: 72 6F 6D 20 74 31 01 00 |rom.t1..|
(4158699328) [27-JAN-2024 14:08:16:596] nsbasic_bsd: 00 00 00 00 00 00 00 00 |........|
......
(4158699328) [27-JAN-2024 14:08:16:596] nsbasic_bsd: 00 00 |..      |
(4158699328) [27-JAN-2024 14:08:16:596] nsbasic_bsd: exit (0)
(4158699328) [27-JAN-2024 14:08:16:596] nsbasic_brc: entry: oln/tot=0
......

启用传输加密

对服务端进行设置

vi $ORACLE_HOME/network/admin/sqlnet.ora
SQLNET.ENCRYPTION_SERVER = REQUESTED
SQLNET.ENCRYPTION_TYPES_SERVER= (RC4_256)

重新 reload

lsnrctl reload

删除跟踪日志

[oracle@cjc-db-01 trace]$ rm -rf *.trc

连接数据库

[oracle@cjc-db-01 ~]$ sqlplus 'cjc/"C2a!"@192.168.1.5:1521/cjc'

查询

SQL> select * from t1;
ID NAME
---------- ----------
 1 aaacjcaaa

查看跟踪日志

[oracle@cjc-db-01 trace]$ ls -lrth
total 644K
-rw-r----- 1 oracle oinstall 3.0K Jan 27 14:05 srv_20034.trc
-rw-r----- 1 oracle oinstall 187K Jan 27 14:05 srv_20039.trc
-rw-r----- 1 oracle oinstall 262K Jan 27 14:05 cli_20037.trc

查看:

SQL语句已被加密

[oracle@cjc-db-01 trace]$ vi cli_20037.trc
......
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: packet dump
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: 00 53 00 00 06 00 00 00 |.S......|
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: 00 00 8F 2D 1B 3F 9C 78 |...-.?.x|
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: 8C 85 B9 DD 2E 33 14 42 |.....3.B|
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: 2F 0C 3D 78 BA 7F F6 22 |/.=x..."|
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: 08 94 97 F4 21 DE 1B C3 |....!...|
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: D2 2B EF 21 F8 43 DA B3 |.+.!.C..|
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: 52 08 EC F0 0D F2 63 84 |R.....c.|
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: 90 15 39 70 D5 6C D8 19 |..9p.l..|
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: A2 F3 A1 BB A7 66 69 50 |.....fiP|
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: 27 92 9C 0B 92 74 31 43 |'....t1C|
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: A5 00 00 |...     |
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: 83 bytes to transport
(4158699328) [27-JAN-2024 14:05:20:555] nspsend: normal exit
....

数据加密

Transparent Data Encryption

透明数据加密的类型 :

TDE列 : 加密存储在选定表列中的敏感数据。

TDE表空间 : 加密存储在表空间中的所有数据。

TDE 列

TDE列加密用于保护存储在表列中的机密数据,如信用卡和社会安全号码。

TDE列加密使用两层基于密钥的体系结构来透明地加密和解密敏感表列。

TDE主加密密钥存储在外部安全模块中,该模块可以是Oracle钱包或硬件安全模块(HSM)。

该主加密密钥用于加密表密钥,表密钥又用于加密和解密表列中的数据。
在这里插入图片描述
主加密密钥存储在数据库外部的一个外部安全模块中,该模块只能由安全管理员访问。

对于此外部安全模块, Oracle使用Oracle钱包或硬件安全模块(HSM),如本章所述。

以这种方式存储主加密密钥可以防止其未经授权的使用。

使用外部安全模块( wallet/HSM)将普通程序功能与加密操作分离,从而可以在数据库管理员和安全管理员之间划分职责。

由于数据库管理员可能不知道钱包密码,需要安全管理员提供密码,因此增强了安全性。

当表包含加密列时,无论加密列的数量如何,都会使用单个表密钥。

所有表的表密钥都用数据库服务器主加密密钥加密,并存储在数据库中的字典表中。

TDE列加密是在Oracle Database 10g release 2(10.2)中首 次引入的。

若要使用此功能,您必须运行 Oracle Database 10g release 2(10.2)或更高版本。

TDE 表空间

TDE表空间加密使您能够加密整个表空间。

在加密的表空间中创建的所有对象都会自动加密。

如果您想保护表中的敏感数据, TDE表空间加密非常有用。

您不需要对每个表列执行细粒度分析来确定需要加密的列。

此外, TDE表空间加密利用大容量加密和缓存来提供增强的性能。

虽然对应用程序的实际性能影响可能各不相同,但性能开销大致估计在 5%到8%之间。

如果您的表在多列中包含敏感数据,或者您希望保护整个表而不仅仅是单个列,那么 TDE表空间加密是TDE列加密的一个很好的替代方案。

TDE表空间加密对存储在加密表空间中的所有数据及其相应的重做数据进行加密。

这包括内部大型对象( LOB),如BLOB和CLOB。

TDE表空间加密不会加密存储在表空间之外的数据。

例如, BFILE数据不加密,因为它存储在数据库之外。

如果您在加密的表空间中创建了一个具有 BFILE列的表,那么该特定列将不会被加密。

但是, Oracle Database 11g Release 1(11.1)支持SecureFile LOB。

加密表空间中的所有数据都以加密格式存储在磁盘上。

对于具有查看或修改数据所需权限的授权用户来说,数据是透明解密的。

数据库用户或应用程序不需要知道特定表中的数据是否在磁盘上加密。

如果磁盘或备份介质上的数据文件被盗,则数据不会泄露。

TDE表空间加密使用两层基于密钥的体系结构来透明地加密(和解密)表空间。

TDE主密钥存储在外部安全模块(Oracle钱包或HSM)中。

该 TDE主密钥用于加密TDE表空间加密密钥,该密钥又用于加密和解密表空间中的数据。

下 图显示了 TDE表空间加密过程的概述。
在这里插入图片描述
TDE表空间加密是在Oracle Database 11g release 1(11.1)中引入的。

要使用此功能,您必须运行 Oracle Database 11gRelease 1(11.11)或更高版本。

DBA狗剩儿
关注
专栏目录
等保2.0测评手册之Oracle
AI
05-25 1942
可以将本文等保2.0测评手册之Oracle直接用于工作中,整改工作内容:控制点,安全要求,要求解读,测评方法,预期结果或主要证据
Web安全-等保测评_db2等保测评命令(2)
2401_84297796的博客
04-28 1046
和之前的由DBA管理用户权限不同的是,他们在数据库原有的权限管理之外,对数据的访问控制做更周密和灵活的规则设置。我们想象一下,如果有人可以执行管理数据的操作,有人负责控制管理数据的规则,另外还有人监督和审计前两类人的行为,那么权力过度集中的问题就可以通过互相制约被解决。这些超级用户是数据库创建过程中的缺省用户,可以认为是数据库中的“造物主”,因为所有新的用户都是由他们创建的。但是过度集中的权力都会带来问题,当超级用户拥有最高权力的时候,意味着他或她可以做任何想做的事,而且可以不留下任何痕迹。
MYSQL、ORACLE、SQLSERVER、Postgres、Redis数据库等保测评作业指导书V1.1
07-26
可适用于数据库等保测评数据库加固,数据库安全配置检查
oracle等保测评
qq_48257021的博客
01-29 1509
在早期的 Oracle 版本中,字典视图的访问权限被限制在特定的系统角色(如 SYSDBA、SYSOPER)或特权用户(如 SYS)中。(该参数设置为false为符合,如果用户具有了any table权限,则可以访问除sys用户之外的其他用户的对象,也就无权访问数据字典基表。这样,可以在操作系统级别定义和管理角色,然后在数据库中将其映射为数据库角色,以便进行数据库级别的访问和权限控制。需要注意的是,操作系统授予的角色对应的操作系统用户或组需要在数据库中存在相应的用户账户,并与角色进行关联。
Orcale数据库-等级保护测评2.0
最新发布
2302_76378481的博客
08-24 890
大家好,本次测评Orcale环境在我的个人终端上(win11)进行,使用的Orcale版本为oracle23ai(最新版),数据库管理工具为navicat12 ,数据库刚开始使用,里面未进行操作都是默认策略。本人也是第一次测评Orcale,如有错误请大家多多指教。
等保测评-Oracle数据库
mashiro_hibiki的博客
03-30 1736
核查数据库系统用户鉴别信息(如口令)是否以密文形式存储,Oracle数据库系统一般对用户口令进行 SHA 加密后存储。核查是否采用了 SM3、SHA256、SHA512等摘要算法对鉴别口令数据进行完整性计算后存储在数据表中。核查用户登录数据库外是否还需要动态令牌等另一种验证,oracle一般默认不符合。询问是否有数据库审计设备,并将该数据库资产加入进去,或其他备份方式。核查非审计管理员用户能否中断审计进程,若未进行三权分立,则为超管。可信验证需要从芯片等硬件层面进行,在金融行业少数能实现,默认不符合。
等保测评-oracle数据库测评命令
qq_37542883的博客
06-07 1337
查看登录失败锁定限制。查看是否有public权限授权给用户,有则不符合。查看审计是否开启,返回值默认为DB。
等保测评2.0_三级——【安全计算环境】Oracle数据库测评项汇总
xwjjdedkdjcjej的博客
05-04 1237
等保测评2.0_三级——【安全计算环境】Oracle数据库测评项汇总
oracle数据库等保测评命令,Oracle等保测评相关指令
weixin_32328999的博客
04-14 1385
Oracle用户管理:SQL*Pluscreate user 用户名 identified by 密码; //创建用户grant 权限(dba=管理员,resource=普通用户,connect=访客) to 用户名; //授权drop user 用户名 cascade; //删除用户,加cascade会把用户创建的所有东西删除Linux设置用户超时:/etc/profile //主要控制全局变量...
linux+Oracle等保测评常用指令
11-04
在网络安全和信息系统安全等级保护(等保)2.0中,对Linux系统和Oracle数据库的安全配置有严格的要求。以下是一些常用的Linux和Oracle等保测评指令,这些指令可以帮助管理员检查和确保系统的安全性。 **Linux部分:...
网络安全等级保护测评-Oracle篇.docx
05-13
关于网络安全Oracle的全部内容,怎么测试相关的对于项目,身份识别、入侵防范、安全审计等等这几大项
信息安全等级保护测评实施Oracle11g三级测评指导书.doc
08-11
等级保护-数据库-Oracle11g三级测评指导书
数据oracle的等保三级测评,等级保护测评三级详解测评要求项测评方法及测评步骤...
weixin_36317943的博客
04-16 3248
等级保护测评三级详解测评要求项测评方法及测评步骤【时间】2019-10-07【编辑】Admin【浏览量】【等级保护QQ交流群】881590869等级保护【数据库Oracle】测评:详解【数据库Oracle】(三级):身份鉴别、访问控制、安全审计、资源控制四个控制点的测评要求项、测评方法及测评步骤!身份鉴别a)应对数据库系统的用户进行身份标识和鉴别;测评方法及步骤:1)以默认口令或者常见口令尝试登录...
oracle的等保,Oracle等保测评相关指令
weixin_33168819的博客
04-07 613
Oracle用户管理:sql*Pluscreate user 用户名 identified by 密码; //创建用户grant 权限(dba=管理员,resource=普通用户,connect=访客) to 用户名; //授权drop user 用户名 cascade; //删除用户,加cascade会把用户创建的所有东西删除Linux设置用户超时:/etc/profile //主要控制全局变量...
网络安全等保:Oracle数据库测评
kali_Ma的博客
10-18 8402
以下结果以Oracle 11g为例,通过PL/SQL进行管理,未进行任何配置、按照等保2.0标准,2021报告模板,三级系统要求进行测评。 一、身份鉴别 a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; sysdba是Oracle数据库的最高权限管理员。通常使用sqlplus或PL/SQL 管理软件进行管理,PL/SQL 为第三方管理软件,但SQL查询语句一样。 注:sysdba如果是本地管理,乱输密码也能登录成功,需要改sqlnet.ora文件。 1.
等保2.0 Oracle数据库测评
dzqxwzoe的博客
08-04 1563
查看是否存在默认帐户SCOTT/OUTLN/ORDSY等用户,不存在acount_status为expired的账户。如只有MGMT_UIEW,SYSTEM,SYS,DBSNMP为启用状态,其他均为启用状态,则为符合。通过访谈管理员,是否采取了可信技术,一般都是未采取。可信技术主要是基于可信芯片、可信根,硬件层面较多。通过访谈管理员,是否采取了可信技术,一般都是未采取。采用sqlplus或PL/SQL连接数据库,对数据库进行管理,客户端与服务器端之间通信是加密的,故Oracle该项默认符合。
等保测评Oracle测评模拟
weixin_54799594的博客
07-24 1180
学习等保测评过程中的笔记
等保测评oracle数据库所需的命令以及内容解析
Xiaokeo的博客
07-24 5974
oracle数据库等保测评所需包括内容解析命令 oracle登录身份有三种:normal普通身份、sysdba系统管理员身份、sysoper系统操作员。 sysdba权限: (1)启动和关闭操作 (2)更改数据库状态为打开/装载/备份,更改字符集 (3)创建数据库 (4)创建服务器参数文件spfile (5)日志归档和恢复 (6)包括“会话权限”权限 sysoper权限: (1)启动和关闭操作 (2)更改数据库状态为打开/装载/备份 (3)创建服务器参数文件spfile (4)日志归档和恢复 (5)包含“会
Linux与Oracle等保测评关键指令集
在进行Linux与Oracle系统的等保测评过程中,评估团队需要关注一...通过执行这些命令,测评人员可以全面评估Linux系统的安全配置Oracle数据库的安全措施,确保系统符合等保2.0的要求,降低安全风险并提高整体安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值