信息安全Oracle標(biāo)準(zhǔn)檢查表全套

信息安全Oracle標(biāo)準(zhǔn)檢查表Oracle標(biāo)準(zhǔn)檢查表分類測評項(xiàng)預(yù)期結(jié)果評估操作示例檢查情況結(jié)果整改建議身份鑒別應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別不存在默認(rèn)空口令和默認(rèn)口令的用戶selectusername"User(s)withDefaultPassword!"

fromdba_users

whereACCOUNT_STATUS='OPEN'ANDpasswordin

根據(jù)反饋的結(jié)果對比默認(rèn)口令的值可知是否存在默認(rèn)口令

常見默認(rèn)口令值：('E066D214D5421CCC',--dbsnmp

'24ABAB8B06281B4C',--ctxsys

'72979A94BAD2AF80',--mdsys

'C252E8FA117AF049',--odm

'A7A32CD03D3CE8D5',--odm_mtr

'88A2B2C183431F00',--ordplugins

'7EFA02EC7EA6B86F',--ordsys

'4A3BA55E08595C81',--outln

'F894844C34402B67',--scott

'3F9FBD883D787341',--wk_proxy

'79DF7A1BD138CF11',--wk_sys

'7C9BA362F8314299',--wmsys

'88D8364765FCE6AF',--xdb

'F9DA8977092B7B81',--tracesvr

'9300C0977D7DC75E',--oas_public

'A97282CE3D94E29E',--websys

'AC9700FD3F1410EB',--lbacsys

'E7B5D92911C831E1',--rman

'AC98877DE1297365',--perfstat

'66F4EF5650C20355',--exfsys

'84B8CBCA4D477FA3',--si_informtn_schema

'D4C5016086B2DC6A',--sys

'D4DF7931AB130E37')--system;每個數(shù)據(jù)庫用戶都需要用戶名和密碼登錄，對默認(rèn)的數(shù)據(jù)庫名不能使用默認(rèn)的密碼，必須修改為新的密碼數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換數(shù)據(jù)庫管理員口令最小長度為10，并包含數(shù)字、字母（大小寫）、特殊字符這三種形式，賬戶口令的生存期不超過90天select*fromdba_profilesorderbyprofile;

PASSWORD_LIFE_TIME90（生存期）PASSWORD_VERIFY_FUNCTION10（口令長度）

PASSWORD_REUSE_MAX5（最近5次重復(fù)密碼不能使用）

FAILED_LOGIN_ATTEMPTS6（失敗次數(shù)超過6次鎖定）管理員賬戶口令最小長度為10位，包含數(shù)字、字母、特殊字符三種形式，口令最長生存期為90天應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)等措施設(shè)置非法登錄次數(shù)的限制值，對超過限制值的登錄終止其鑒別會話戒臨時封閉帳號查看最大非法登錄次數(shù)：

selectlimitfromdba_profileswhereprofile='DEFAULT'andresource_name='FAILED_LOGIN_ATTEMPTS'

查看封閉賬號策略：

selectlimitfromdba_profileswhereprofile='DEFAULT'andresource_name='PASSWORD_LOCK_TIME'最大非法登錄次數(shù)為5次，賬號封鎖策略為登錄失敗5次后封鎖5-10分鐘限制具備數(shù)據(jù)庫超級管理員（SYSDBA）權(quán)限的用戶遠(yuǎn)程管理登錄SYSDBA用戶只能本地登錄不能遠(yuǎn)程，REMOTE_LOGIN_PASSWORDFILE函數(shù)的Value值為NONEShowparameterREMOTE_LOGIN_PASSWORDFILEREMOTE_LOGIN_PASSWORDFILE函數(shù)值設(shè)置未NONE，SQL>altersystemsetremote_login_passwordfile=nonescope=spfile；

這樣SYSDBA用戶只能在本地登錄，不能遠(yuǎn)程連接，再重啟數(shù)據(jù)庫完成應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別對管理員訪談，對于三級系統(tǒng)，必須使用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別，如密碼和口令的組合使用。訪談管理員三級系統(tǒng)建議采用用戶名密碼+證書口令登錄的方式；

三級以下系統(tǒng)可以采用一種鑒別技術(shù)。訪問控制應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問

明確了各賬戶的訪問權(quán)限根據(jù)實(shí)際需求，對每個用戶的訪問權(quán)限進(jìn)行限制，對敏感的文件夾限制訪問用戶的權(quán)限應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；每個登錄用戶的角色和權(quán)限是該用戶所需的最小權(quán)限訪談管理員，了解每個用戶的作用、權(quán)限給予賬戶所需最小權(quán)限，避免出現(xiàn)特權(quán)用戶應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離操作系統(tǒng)和數(shù)據(jù)庫的特權(quán)用戶的權(quán)限必須分離，避免一些特權(quán)用戶擁有過大的權(quán)限，減少人為誤操作詢問管理員，操作系統(tǒng)管理員和數(shù)據(jù)庫管理員是否分離分離數(shù)據(jù)庫和操作系統(tǒng)的特權(quán)用戶，不能使一個用戶權(quán)限過大應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令不能以默認(rèn)的賬號和密碼登錄數(shù)據(jù)庫常見的Oracle數(shù)據(jù)庫名和密碼：sys/change_on_install

system/manager

oracle/oracle、admin、ora92

sys/oracle、admin對默認(rèn)的賬號和密碼進(jìn)行修改，避免存在弱口令應(yīng)及時刪除多余的、過期的賬戶，避免共享賬戶存在不存在多余、過期和共享賬戶selectnamefromsyslogins

詢問每個賬戶的作用刪除多余、過期無用的賬戶安全審計(jì)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶系統(tǒng)開啟了安全審計(jì)功能并覆蓋到每個用戶selectvaluefromv$parameterwherename=?audit_trail?開啟系統(tǒng)本身的安全審計(jì)功能，完整記錄用戶對操作系統(tǒng)和文件訪問情況，或采用第三方的安全審計(jì)設(shè)備審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件審計(jì)功能已開啟，包括：用戶登錄系統(tǒng)、自主訪問控制的所有操作記錄、重要用戶行為（如增加/刪除用戶，刪除庫表）等進(jìn)行審計(jì)showparmeteraudit_trail，查看是否開啟審計(jì)功能。

showparameteraudit_sys_operations，查看是否對所有sys用戶的操作迚行了記錄。

selectsel,upd,del,insfromdba_obj_audit_opts，查看是否對sel,upd,del,ins操作進(jìn)行了審計(jì)。

select*fromdba_stmt_audit_opts，查看審計(jì)是否設(shè)置成功。

select*fromdba_priv_audit_opts，查看權(quán)限審計(jì)選項(xiàng)。開啟審計(jì)功能，記錄用戶的添加和刪除、審計(jì)功能的啟動和關(guān)閉、審計(jì)策略的調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作（如用戶登錄、退出）等操作審計(jì)記錄應(yīng)包括事件的日期、觸發(fā)事件的主體與客體、事件類型、事件成功或失敗、身份鑒別事件中的請求來源審計(jì)記錄信息中應(yīng)包括日期、時間、事件類型、主體標(biāo)識（如用戶名等）、客體標(biāo)識（如數(shù)據(jù)庫表、字段戒記錄等）和事件操作結(jié)果等內(nèi)容Select*fromDBA_AUDIT_TRAIL;完善審計(jì)記錄，對事件的日期，事件的主客體，事件是否成功發(fā)生等進(jìn)行完善操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新1)系統(tǒng)安裝的組件和應(yīng)用程序遵循了最小安裝的原則；

2)不必要的服務(wù)沒有啟動；

3)不必要的端口沒有打開；service--status-all|greprunning在不影響系統(tǒng)的正常使用的前提下，對系統(tǒng)的一些端口和服務(wù)可以進(jìn)行關(guān)閉，避免這些端口或服務(wù)的問題導(dǎo)致系統(tǒng)問題資源控制應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限