等级保护测评三级详解测评要求项测评方法及测评步骤

【时间】2019-10-07

【编辑】Admin

【浏览量】

【等级保护QQ交流群】881590869

等级保护【数据库Oracle】测评：

详解【数据库Oracle】(三级)：身份鉴别、访问控制、安全审计、资源控制四个控制点的测评要求项、测评方法及测评步骤！

身份鉴别

a)应对数据库系统的用户进行身份标识和鉴别；

测评方法及步骤：

1)以默认口令或者常见口令尝试登录数据库，查看是否成功，查看是否需要口令以及是否存在空口令

$ sqlplus/nolog

SQLconnuser/password as sysdba

2)或者使用Oracle客户端管理控制台(Enterprise Manager Console)进行登录

3)默认口令包括sys/change_on_install;system/manager,scott/tiger,常用口令包括oracle:admin/oracle;sys:admin:oracle等。(更改用户口令alter user user_name identified by password)，或者用select * from dba_users;查看账号口令；

b)数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

测评方法及步骤：

1)select username,profile fromdba_user；了解用户使用的profile

2)select * from dba_profiles whereprofile='default';查看系统本身的profile的配置参数都有哪些？

PASSWORD_VERIFY_FUNCTIONverify_function为密码复杂度验证函数已经开启。这个oracle默认verify_function()函数，要求口令密码最小长度4、不能和用户名相同、至少有一个字母、数字和特殊字母，旧密码和新密码至少有三位不同。如果你觉得这个要求还太低，那你就创建自己复杂的验证函数

3)检查utlpwdmg.sql中"-- Check for the minimum length of the password"部分中"length (password)

c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

测评方法及步骤：

1)select limitfrom dba_profiles where resource_name='FAILED_LOGIN_ATTEMPTS

FAILED_LOGIN_ATTEMPTS：最大错误登录次数

PASSWORD_GRACE_TIME：口令失效后锁定 时间

PASSWORD_LIFE_TIME：口令有效时间

PASSW