信息安全Oracle标准检查表全套.docxVIP

信息安全Oracle标准检查表

Oracle标准检查表

分类

测评项

预期结果

评估操作示例

检查情况

结果

整改建议

身份鉴别

应对登录操作系统和数据库系统的用户进行身份标识和鉴别

不存在默认空口令和默认口令的用户

selectusernameUser(s)withDefaultPassword!

fromdba_users

whereACCOUNT_STATUS=OPENANDpasswordin

根据反馈的结果对比默认口令的值可知是否存在默认口令

常见默认口令值：(E066D214D5421CCC,--dbsnmp

24ABAB8B06281B4C,--ctxsys

72979A94BAD2AF80,--mdsys

C252E8FA117AF049,--odm

A7A32CD03D3CE8D5,--odm_mtr

88A2B2C183431F00,--ordplugins

7EFA02EC7EA6B86F,--ordsys

4A3BA55E08595C81,--outln

F894844C34402B67,--scott

3F9FBD883D787341,--wk_proxy

79DF7A1BD138CF11,--wk_sys

7C9BA362F8314299,--wmsys

88D8364765FCE6AF,--xdb

F9DA8977092B7B81,--tracesvr

9300C0977D7DC75E,--oas_public

A97282CE3D94E29E,--websys

AC9700FD3F1410EB,--lbacsys

E7B5D92911C831E1,--rman

AC98877DE1297365,--perfstat

66F4EF5650C20355,--exfsys

84B8CBCA4D477FA3,--si_informtn_schema

D4C5016086B2DC6A,--sys

D4DF7931AB130E37)--system;

每个数据库用户都需要用户名和密码登录，对默认的数据库名不能使用默认的密码，必须修改为新的密码

数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换

数据库管理员口令最小长度为10，并包含数字、字母（大小写）、特殊字符这三种形式，账户口令的生存期不超过90天

select*fromdba_profilesorderbyprofile;

PASSWORD_LIFE_TIME90（生存期）PASSWORD_VERIFY_FUNCTION10（口令长度）

PASSWORD_REUSE_MAX5（最近5次重复密码不能使用）

FAILED_LOGIN_ATTEMPTS6（失败次数超过6次锁定）

管理员账户口令最小长度为10位，包含数字、字母、特殊字符三种形式，口令最长生存期为90天

应启用登录失败处理功能，可采取结束会话、限制非法登录次数等措施

设置非法登录次数的限制值，对超过限制值的登录终止其鉴别会话戒临时封闭帐号

查看最大非法登录次数：

selectlimitfromdba_profileswhereprofile=DEFAULTandresource_name=FAILED_LOGIN_ATTEMPTS

查看封闭账号策略：

selectlimitfromdba_profileswhereprofile=DEFAULTandresource_name=PASSWORD_LOCK_TIME

最大非法登录次数为5次，账号封锁策略为登录失败5次后封锁5-10分钟

限制具备数据库超级管理员（SYSDBA）权限的用户远程管理登录

SYSDBA用户只能本地登录不能远程，REMOTE_LOGIN_PASSWORDFILE函数的Value值为NONE

ShowparameterREMOTE_LOGIN_PASSWORDFILE

REMOTE_LOGIN_PASSWORDFILE函数值设置未NONE，SQLaltersystemsetremote_login_passwordfile=nonescope=spfile；

这样SYSDBA用户只能在本地登录，不能远程连接，再重启数据库完成

应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别

对管理员访谈，对于三级系统，必须使用两种或两种以上组合的鉴别技术实现用户身份鉴别，如密码和口令的组合使用。

访谈管理员

三级系统建议采用用户名密码+证书口令登录的方式；

三级以下系统可以采用一种鉴别技术。

访问控制

应启用访问控制功能，依据安全策略控制