实战|等保2.0 Oracle数据库测评过程

news2024/11/25 4:09:22

以下等保测评过程以Oracle 11g为例,通过PL/SQL进行管理,未进行任何配置、按照等保2.0标准,2021报告模板,三级系统要求进行测评。

一、身份鉴别

a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

sysdba是Oracle数据库的最高权限管理员。通常使用sqlplus或PL/SQL 管理软件进行管理,PL/SQL 为第三方管理软件,但SQL查询语句一样。

注:sysdba如果是本地管理,乱输密码也能登录成功,需要改sqlnet.ora文件。
1.管理员登录数据库时是是否需要输入用户名/口令,不存在空口令;

图片


2.使用 Select username,account_status from dba_users; 显示所有能登录数据库的用户信息:(),那些是open那些是locked,UID是否唯一;

图片


3.通过命令 select * from dba_profiles where resource_type='password';或SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE='DEFAULT' AND RESOURCE_NAME='PASSWORD_VERIFY_FUNCTION';如果为NULL则为未设置密码复杂度要求。

图片

若有设置应为
(1)PASSWORD_LOGIN_ATTEMPTS =  登录尝试次数;
(2)PASSWORD_LIFE_TIME = unlimited 未设置口令有效期;
(3)PASSWORD_ROUSE_MAX = unlimited 未设置重新启用一个先前用过的口令前必须对该口令进行重新设置的次数(重复用的次数);
(4)PASSWORD_VERIFY_FUNCITON = NULL,未设置口令复杂度校验函数;
(5)PASSWORD_GRACE_TIME=,口令修改的宽限期天数:7;

b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

1.通过输入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE='DEFAULT' AND RESOURCE_NAME='FAILED_LOGIN_ATTEMOTS';,查询结果若为’UNLIMITED’则无登录重试次数限制,超过此值用户被锁定。可以通过ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 10(重试次数10次)

图片


2.通过输入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE='DEFAULT' AND RESOURCE_NAME='PASSWORD_LOCK_TIME';, 查询结果若为’unlimited’则无登录失败次数锁定限制。可以通过ALTER PROFILE DEFAULT LIMIT PASSWORD_LOCK_TIME 1/24(重试失败后锁定一天)

图片


3.通过输入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE='DEFAULT' AND RESOURCE_NAME='IDLE_TIME';, 查询结果若为’UNLIMITED’则无登录超时限制。

图片

c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

 采用sqlplus或PL/SQL连接数据库,对数据库进行管理,客户端与服务器端之间通信是加密的,故Oracle该项默认符合。

d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

经访谈管理员,是否采用双因子身份鉴别技术,鉴别技术是什么 。默认都不符合。

二、访问控制

a) 应对登录的用户分配账户和权限;

通过输入Select username,account_status from dba_users;语句,主要查看数据库存在那些可用用户,至少得有两个,该测评项就需要Oracle中存在至少两个账户,且这两个账户的权限不一样。

1.为用户分配了账户和权限及相关设置情况,主要看可用账户(例如采用“用户权限列表”);
2.是否已禁用或限制匿名、默认账户的访问权限。如只有MGMT_UIEW,SYSTEM,SYS,DBSNMP为启用状态,其他均为启用状态,则为符合。

b) 应重命名或删除默认账户,修改默认账户的默认口令

 在Oracle中默认用户最常用的就是SYS和SYSTEM这两个账户。
1.是否已经重命名SYS、SYSTEM、DBSNMP等默认帐户名或已修改默认口令,sys默认口令为CHANGE_ON_INSTALL;SYSTEM:MANAGER;DBSNMP的默认口令为:DBSNMP。可以登录测试。

c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在

访谈管理员是否存在多余或过期账户,管理员用户与账户之间是否一一对应通过输入Select username,account_status from dba_users;查看是否存在默认帐户SCOTT/OUTLN/ORDSY等用户,不存在acount_status为expired的账户。访谈管理员是否存在共享账户等。示例不符合。

图片

d) 应授予管理用户所需的最小权限,实现管理用户的权限分离

1.通过输入Select username,account_status from dba_users;查看状态为open的用户的用途。是否进行角色划分,是否有多个用户进行管理数据库;
2.通过输入 select * from dba_tab_privs where grantee='SYS'  ORDER BY GRANTEE;查看SYS最高权限授予给那些用户,得知管理用户的权限是否已进行分离;

图片


3.通过访谈管理员、管理用户权限是否为其工作任务所需的最小权限,是否存在相应的用户权限表。
4.通过输入select granted_role from dba_role_privs where grantee='PUBLIC'; 返回值(  ) 得知public是否被授权给用户,有就不符合 ;
5.通过在命令窗口输入Show parameter O7_DICTIONARY_ACCESSIBILITY;返回值(是否为false);(该参数设置为false为符合,如果用户具有了any table权限,则可以访问除sys用户之外的其他用户的对象,也就无权访问数据字典基表。)

图片

TIPS: sql语句在 PL/sql的文件--》sql窗口执行,show等命令语句在命令窗口执行。sqlplus则不区分。

综上判断符合程度。

e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则

通过访谈管理员,是否由特定账户为登录用户分配角色和权限。是否存在具体的访问规则。

f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级

1.通过访谈数据库管理员,是否制定数据库访问控制策略,访问控制的粒度为数据库表级。此项默认符合。

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问

通过访谈数据库管理员: 是否对重要主体和客体设置安全标记。oracle自身应该不具备这个功能,可能要依靠操作系统或者第三方的什么软件如Oracle_Label_Security来实现了。该项一般默认都不符合。

三、安全审计

a) 应启用安全审计功能,审计覆盖到每个用 户,对重要的用户行为和重要安全事件进行审计

 Oracle自带有审计功能,可以通过audit_trail参数来开启使用。
  1.通过输入 show parameter audit_trail;返回值默认为DB,即为普通用户开启审计功能,若为none则为未开启状态;

图片


 2.通过输入 select * from dba_stmt_audit_opts;和select * from dba_priv_audit_opts;返回结果如User_Name为空值,对这些重要事件开启审计,并且这个审计是针对所有用户的,符合要求。

图片

图片


 3.通过输入 show parameter audit_sys_operations;返回结果  audit_sys_operations          boolean     FALSE  则未对SYSDBA或SYSOPER特权连接时直接发出的SQL语句进行审计,需要开启,默认为false。

图片

综上分析判断符合程度。

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

 通过输入 select * from aud$; 查看审计日志的格式,默认符合。(输入show parameter dump_dest 得出backgroup_dump_dest的值为日志文件的位置。)。下图没有显示完全。

图片

c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等

 1.通过访谈管理员, 是否采取技术措施对审计记录进行定期备份,采用的技术措施及备份策略是怎么样的?如通过syslog端口导入到日志服务器。
 2. 是否只有特定的管理员拥有对审计记录的操作权限,普通用户无法访问审计记录。

d) 应对审计进程进行保护,防止未经授权的中断

Oracle默认符合此项。
1.通过查看sysdba、sysoper权限被授予给了谁,非管理员账户是否可以中断审计进程,审计进程是否进行了保护。
2.通过输入alter system set audit_trail=none; 得出无法成功即符合。示例为sysdba最高权限管理员登录,能够进行操作。需要通过一个普通用户登录,查看此条命令是否能够执行,若能此项就不符合。

图片

四、入侵防范

a) 应遵循最小安装的原则,仅安装需要的组件和应用程序

  通过输入select * from v$option;得知安装的组件是否多余。value为true为安装了。

图片

b) 应关闭不需要的系统服务、默认共享和高危端口

  此项不适用,数据库不涉及此项。

c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

  通过查看oracle的安装路径中的sqlnet.ora文件查看tcp.validnode_checking/tcp/invited_nodes的配置是否为:
               tcp.validnode_checking=yes
               tcp,invited_nodes=()  得知是否设置了远程连接IP。

   大部分未设置,基本都是通过远程管理操作系统间接远程数据库。

d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求

  此项不适用,数据库不涉及此项。

e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞

   1、 访谈管理员是否定期或不定期进行漏洞扫描或渗透测试,周期为 (  );
   2、通过本次漏洞扫描是否发现与数据库相关的高危漏洞,若存在,是否及时进行漏洞修补。

f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警

    此项不适用,数据库不涉及此项。

五、恶意代码防范

 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断

    此项不适用,数据库不涉及此项。

六、可信验证

可基于可信根对计算设备的系统引导程序、 系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

  通过访谈管理员,是否采取了可信技术,一般都是未采取。可信技术主要是基于可信芯片、可信根,硬件层面较多。但是现在市面上的产品尚未大量普及。

七、其他控制点

 数据完整性、数据保密性、数据备份与恢复、剩余信息保护、个人信息保护均不在此处考虑,放在安全计算环境中的五类数据中统一体现。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2118032.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

E212: Can‘t open file for writing

如图 1. 查看当前用户的用户名和所属组 如果你只想查看当前登录用户的用户名和所属组,可以使用以下命令: whoami groups 检查文件和目录权限: ls -ld /private/var/log/wyhy ls -l /private/var/log/wyhy/market.log 修改文件权限&#…

RAKsmart美国大带宽服务器租用体验怎么样?

RAKsmart是一家提供全球服务器租用服务的知名供应商,其在美国的服务器产品种类多样,包括大带宽服务器、多IP站群服务器以及高防御服务器等,以适应不同业务的需求。rak小编为您整理发布。 下面是对RAKsmart美国大带宽服务器租用的具体介绍&…

计算机毕业设计 大学志愿填报系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点…

随机分类,保持均衡水平Python

1、目的: 10000个样本有4个指标,按照逾期金额分10类,确保每类别逾期金额均衡。 2、数据: 3、思路: 将10000个样本按照逾期金额排序, 等距分箱为2500个类别 增加一列随机数 根据类别和随机数升序排列 增加…

MCU6.用keil新建项目

1.新建项目 打开keil4 2.选择单片机的类型 STC并没有出现在其中,但兼容8051芯片,选Atmel的AT89C51或AT89C52均可 本文选AT89C52 弹出的窗口点否 3.查看项目 4.新建文件 5.保存文件 6.将文件添加到工程 双击Source Group 1 点击Add 7.添加已有的工程 如果要添加已有的工程 8…

Java并发编程实战 09 | 为什么需要

什么是守护线程? 守护线程(Daemon Thread)是Java中的一种特殊线程,那么相对于普通线程它有什么特别之处呢? 在了解守护线程之前,我们先来思考一个问题:JVM在什么情况下会正常退出?…

腾讯公众号种类这么多,为什么小程序能脱颖而出

在微信公众平台中,公众号和小程序是两种不同的功能实体,它们各自承担着不同的角色和使命。然而,随着小程序的崛起,它在众多功能中逐渐脱颖而出,成为商家和开发者的新宠。具体分析如下: 技术优势与用户体验 …

深入探索协同过滤:从原理到推荐模块案例

文章目录 前言一、协同过滤1. 基于用户的协同过滤(UserCF)2. 基于物品的协同过滤(ItemCF)3. 相似度计算方法 二、相似度计算方法1. 欧氏距离2. 皮尔逊相关系数3. 杰卡德相似系数4. 余弦相似度 三、推荐模块案例1.基于文章的协同过…

顶点照明渲染路径

1. 顶点照明渲染路径处理光照的方式 基本思想就是所有的光都按照逐顶点的方式进行计算的,在内置渲染管线中,它只会最多记录8个光源的数据,只会将光相关的数据填充到那些逐顶点相关的内置光源变量 顶点照明渲染路径仅仅是前向渲染路径的一个…

Mybatis-PlusDruid数据源

一、Mybatis-Plus简介 (一)什么是Mybatis-Plus Mybatis-Plus是一个Mybatis(OPENS NEW WINDOW)的增强工具,在Mybatis的基础上只做增强不做改变,为简化开发。 (二)Mybatis-Plus的优…

C语言之头文件,预处理命令#include

0 为什么要添加头文件?为什么要使用头文件? 可以看下下面图片左边,是不使用头文件,假设我们为了实现某些功能,编写的函数,全部声明在主函数之前,写几个函数还行,如果是大型项目&…

Hadoop压缩技术与Hive文件格式详解

目录 文件格式和压缩 Hadoop压缩概述 压缩格式 Hive文件格式 Text File ORC 1)文件格式 2)结构 3)建表语句 Parquet 1)文件格式 2)结构 3)建表语句 压缩 Hive表数据进行压缩 1)TextFil…

对话 IDC:一文带你了解低代码的技术趋势和平台选型

近日,葡萄城的活字格企业级低代码开发平台入选《中国低代码开发平台技术评估,2024》技术代表厂商,并在可视化开发、集成能力、开放性和兼容性以及生态能力维度获得五星评价。这一荣誉见证了葡萄城在低代码领域的技术实力与创新成果。 为进一…

Python 基本库用法:数学建模

文章目录 前言数据预处理——sklearn.preprocessing数据标准化数据归一化另一种数据预处理数据二值化异常值处理 numpy 相关用法跳过 nan 值的方法——nansum和nanmean展开多维数组(变成类似list列表的形状)重复一个数组——np.tile 分组聚集——pandas.…

不是你不想做 AI 产品,只是 UI 太贵劝退了你

"我有一个绝妙的 AI 产品创意!" "有想法就动起来呀~" "呃...还是算了吧,UI 太贵了,请不起" 相信不少人都有过这样的内心独白。 可能脑海中已经构思了无数个精彩的页面,甚至连细节都已经了然于胸。 但,在你准备大展拳脚的时候,现实给了…

鸿蒙开发5.0【弱引用】 使用

开发者需要依靠弱引用解决垃圾回收相关的内存管理问题。 强引用:默认的引用类型,被强引用的对象不会被垃圾回收。弱引用:允许对象在没有其他强引用时被垃圾回收,不会阻止垃圾回收器回收该对象。 场景一:使用弱引用打…

揭秘!老人帕金森与嗜睡之谜:是病症常态还是另有隐情?

在关爱老年人健康的道路上,帕金森病这一神经退行性疾病总是牵动着无数家庭的心。随着病情的发展,不少患者家属会发现,家里的老人似乎比以前更容易感到疲倦,甚至频繁出现嗜睡的情况。这不禁让人疑惑:老人帕金森会一直想…

数学建模——Box-Cox变换

用途:当某个随机变量 X X X 不服从正态分布的时候,可以尝试通过这种变换将其变成正态分布。 两个常用的变换 对数变换:已知随机变量 X X X,如果有 ln ⁡ X ∼ N ( μ , σ 2 ) \ln X\sim N(\mu,\sigma^2) lnX∼N(μ,σ2)&…

快被右下角的windows Defender烦死了,怎么让它消失?

前言 前段时间有小伙伴问:Windows自带的杀毒软件Windows Defender怎么关掉? 原因是无论在Windows Defender软件界面里怎么关闭,它都会拦截到某些软件和文件。 而且对于强迫症患者来说,右下角始终有个图标,还带了个x的…

【开源风云】从若依系列脚手架汲取编程之道(四)

📕开源风云系列 🍊本系列将从开源名将若依出发,探究优质开源项目脚手架汲取编程之道。 🍉从不分离版本开写到前后端分离版,再到微服务版本,乃至其中好玩的一系列增强Plus操作。 🍈希望你具备如下…