等级保护测评指导书----主机数据库.xlsx

层面控制点测评项重要性级别系统 主机 身份鉴别 S1 S2 S3 a 应对登录操作系统 和数据库系统的用户 进行身份标识和鉴别 重要 S1 S2 S3 oracle9 i for linux b 操作系统和数据 库系统管理用户身 份标识应具有不易 被冒用的特点 口 令应有复杂度要求 并定期更换 重要 S2 S3 oracle9 i for linux c 应启用登录失败 处理功能 可采取 结束会话 限制非 法登录次数和自动 退出等措施 重要 S2 S3 oracle9 i for linux d 当对服务器进行 远程管理时 应采 取必要措施 防止 鉴别信息在网络传 输过程中被窃听 S2 S3 oracle9 i for linux e 应为操作系统和 数据库系统的不同 用户分配不同的用 户名 确保用户名 具有唯一性 S2 S3 oracle9 i for linux f 应采用两种或两 种以上组合的鉴别 技术对管理用户进 行身份鉴别 S3 oracle9 i for linux oracle9 i for linux b 应根据管理用户 的角色分配权限 实现管理用户的权 限分离 仅授予管 理用户所需的最小 权限 S3 oracle9 i for linux c 应实现操作系统 和数据库系统特权 用户的权限分离 S2 S3 oracle9 i for linux d 应严格限制默认 帐户的访问权限 重命名系统默认帐 户 修改这些帐户 的默认口令 重要 S1 S2 S3 oracle9 i for linux e 应及时删除多余 的 过期的帐户 避免共享帐户的存 在 重要 S2 S3 oracle9 i for linux 主机 oracle9 i for linux g 应依据安全策略 严格控制用户对有 敏感标记重要信息 资源的操作 S3 oracle9 i for linux 安全审计 G2 G3 a 审计范围应覆盖 到服务器和重重要要客客 户户端端上的每个操作 系统用户和数据库 用户 重要 G2 G3 G2审计服 务器 G3审 计包括服务 器和重要客 户端 oracle9 i for linux b 审计内容应包括 重要用户行为 系 统资源的异常使用 和重要系统命令的 使用等系统内重要 的安全相关事件 重要 G2 G3 oracle9 i for linux c 审计记录应包括 事件的日期 时间 类型 主体标识 客体标识和结果 等 重要 G2 G3 oracle9 i for linux d 应能够根据记录 数据进行分析 并 生成审计报表 G3 oracle9 i for linux 主机 oracle9 i for linux f 应保护审计记录 避免受到未预期 的删除 修改或覆 盖等 重要 G2 G3 oracle9 i for linux 资源控制 A1 A2 a 应通过设定终端 接入方式 网络地 址范围等条件限制 终端登录 重要 A2 A3 oracle9 i for linux b 应根据安全策略 设置登录终端的操 作超时锁定 重要 A2 A3 oracle9 i for linux c 应对重要服务器 进行监视 包括监 视服务器的CPU 硬 盘 内存 网络等 资源的使用情况 A3 oracle9 i for linux d 应限制单个用户 对系统资源的最大 或最小使用限度 A2 A3 oracle9 i for linux 主机 安全审计 G2 G3 实施过程预期结果 1 应检查Oracle 数据库系统 查看是否 存在空口令或默认口令的用户 2 结合扫描结果进行判断 3 使用select username password from dba users 获取加密口令信息结合破解工 具进行破解 4 结合扫描结果进行判断 口令不为空或弱口令 1 执行命令 select limit from dba profiles where profile DEFAULT and resource name PASSWORD VERIFY FUN CTION 查看是否启用口令复杂度函数 2 检查utlpwdmms sql 中 Check for the minimum length of the password 部分中 length password 后的值 3 或者 查看口令管理制度以及执行记录 并选择验证 4 结合扫描结果进行判断 1 口令复杂度函数应设 置为VERIFY FUNCTION 2 rdbms admin中 length password 应不小于8 3 被检查部门应存在相 应的口令管理制度 并 有相应的执行记录 可 以指定账户要求管理员 输入口令 观察口令复 杂度 1 执行命令 select limit from dba profiles where profile DEFAULT and resource name FAILED LOGIN ATTEMP TS 登录失败尝试次数 2 执行命令 select limit from dba profiles where profile DEFAULT and resource name PASSWORD LOCK TIME 登录超过有效次数锁定时间 1 应对登录失败尝试次 数进行设置 2 应对登录超过有效次 数进行设置 1 show parameter REMOTE OS AUTHENT 远程数据库验证 2 查看 network admin listener ora 的 LISTENER DESCRIPTION ADDRESS LIST ADDRESS PROTOCOL 值 1 远程数据库验证的值 应为FALSE 1 执行命令 select username from dba users 查看是否存在相同用户名的 账户 2 询问数据库管理员 是否为不同的用户 分配不同的用户名 1 应制定相应的管理制 度 确保不同人员使用 不同用户名登录数据库 系统 2 主要数据库管理员用 户名应唯一 1 数据库的身份鉴别方式 是否使用其他 鉴别技术 2 查看 network admin sqlnet ora SQLNET AUTHENTICATION SERVICES 的 值 确认数据库管理系统指定的鉴别方式 是否与管理员回答的一致 3 如果使用其他技术 则查看该技术的实 现情况 1 SQLNET AUTHENTICAT ION SERVICES的值设置 为ALL 或者不设置的情 况下 OS验证才能成功 设置为其他任何值都 不能使用OS认证 1 询问数据库管理员 数据库系统的访问 控制策略是什么 2 查看ORACLE数据库的访问控制策略是否 与管理员回答的一致 3 查看 network admin sqlnet ora tcp validnode checking与 tcp invited nodes的值 1 tcp validnode chec king yes tcp invited nodes IP 1 对应select username from dba users SELECT FROM dba role privs 与SELECT FROM dba sys privs 执行命令的结果进行查看 2 查看每个登录用户的角色和权限 是否 是该用户所需的最小权限 无 1 询问是否由不同员工分别担任操作系统 管理员与数据库管理员 2 可查看相关的人员管理文档 相关人员管理文档应能 提供不同的操作系统管 理员与数据库管理员姓 名 1 登录验证sys 的口令是否为CHANGE ON INSTALL 2 登录验证system 的口令是否为manager 3 登录验证dbsnmp 的口令是否为dbsnmp 4 其它默认的用户名与密码SCOTT TIGER MDSYS MDSYS OUTLN OUTLN ADAMS WOOD JONES STEEL CLARK CLOTH BLAKE PAPER CTXSYS CTXSYS ORDSYS ORDSYS ORDPLUGINS ORDPLUGINS 5 可使用扫描工具的扫描结果进行判断 6 使用select username password from dba users 获取加密口令信息结合破解工 具进行破解 数据库不应使用默认的 密码 1 在sqlplus 中执行命令 select username account status from dba users 查看返回结果中是 否存在scott outln ordsys 等范例数 据库账号 2 针对上述命令获得的用户账号 查看是 否存在过期账户 询问数据库管理员是否 每一个账户均为正式 有效的账户 3 针对上述命令获得的用户账号 询问是 否有存在多人共享账户的情况 1 不存在范例数据库账 号 或这些账号锁定 2 用户账号应都为正式 的 有效的账号 3 不应存在多人共享账 户 1 检查是否安装Oracle Label Security 模块 select username from dba users 2 查看是否创建策略 select policy name status from DBA SA POLICIES 3 查看是否创建级别 select from dba sa levels order by level num 4 查看标签创建情况 select from dba sa labels 5 询问重要数据存储表格名称 6 查看策略与模式 表的对应关系 select from dba sa tabels policies 判断是否针对 重要信息资源设置敏感标签 1 安装Oracle Label Security 模块 2 应创建策略 3 应创建级别 1 如果安装了Oracle Label Security 模块 并创建策略与级别 那么查看用户 的标签 select from dba sa user label 2 选择特定的用户和表进行验证策略 无 1 执行 select value from v parameter where name audit trail 查看是否开启审 计功能 2 询问数据库管理员是否使用了第三方工 具进行审计 3 用不同的用户登录数据库系统并进行不 同的操作 在oracle 数据库中查看日志记 录是否满足要求 或开启数据库审计功能 或使用第三方工具进 行审计 1 执行 show parameter audit trail 2 执行 show parameter audit sys operations 3 执行 select sel upd del ins gra from dba obj audit opts 4 执行 select sel upd del ins gra from dba stmt audit opts 5 执行 select sel upd del ins gra from dba priv audit opts 6 查看第三方审计工具的记录 1 非NONE 2 TRUE 3 审计记录应包括如用 户登录系统 增加用户 删除用户等行为 1 记录一条日志内容 确认其包括事件发 生的日期与时间 触发事件的主体与客体 事件的类型 事件成功或失败 身份鉴 别事件中请求的来源 事件的结果等内容 ORACLE日志与第三方日 志都应存在日期和时间 类型 主体标识 如 用户名等 客体标识 如数据 库 字段或记 录 事件的结果等 1 询问数据库管理员是否安装并使用 oracle audit vault 等日志分析工具并 查看相关报表 应安装相关工具 并可 行成报表 1 询问是否严格限制管理员权限 2 用户可以通过修改alter system set audit trail none 并重启实例关闭审 计功能 查看是否成功 应严格限制管理员权限 1 检查是否严格限制用户访问审计记录的 权限 如采用audit vault 等 2 检查是否有效防止审计日志空间不够而 导致无法记录日志的情况 无 查看服务器端 network admin sqlnet ora 中是否配 置了以下参数 Tcp validnode checking Tcp invited nodes 1 tcp validnode chec king yes tcp invited nodes IP 查看空闲超时设置 select limit from dba profiles where profile DEFAULT and resource name IDLE TIME 连接超时自动断开建议 值为10分钟 可以对操作系统进行查看 有无第三方工 具对操作系统使用情况进行监控 应有监控人员对操作系 统使用情况进行监控 1 确定用户使用的profile select username profile from dba users 针 对指定用户的profile 查看其限制 以 default 为例 2 查看空闲超时设置 select limit from dba profiles where profile DEFAULT and resource name IDLE TIME 3 select limit from dba profiles where profile DEFAULT and resource name SESSIONS PER USER 建议idle time设置为 20 sessions per user 1 说明 1 扫描工具为Nessus xsan 红探硬件扫描工具等 2 破解工具为john the ripper 1 口令设置的复杂度要求 至少包括 大小字母 数字 特殊字符四类中的2类 其长度不低于8位 并存在的 执行记录应表明定期更换密码 2 扫描工具为Nessus xsan 红探硬件扫描工具等 1 应检查数据库系统 查看是否已配置了鉴别失败处理 功能 并设置了非法登录次数的限制值 对超过限制值 的登录终止其鉴别会话或临时封闭账号 查看是否设置 网络登录连接超时 并自动退出 查看是否设置鉴别警 示信息 2 登录失败尝试次数建议设置为6 3 登录超过有效次数锁定时间建议设置为1 24 4 若条件允许 请进行验证 1 将远程数据库验证的值设置为FALSE 代表远程数据 库只有通过密码验证才能登录到此计算机 2 可使用数据包嗅探工具 对数据包进行分析 确定其 是否对数据进行加密传输 如Wireshark Iris等 在默认情况下 Oracle数据库系统中不能创建相同用户 名的用户 但是 在实际应用中 为防止不同用户使用 相同的用户名登录数据库系统 应制定相应的管理制度 确保不同人员使用不同用户名登录数据库系统 身份鉴别技术 如用户名 口令 挑战应答 动态口令 物理设备 生物识别技术 数字证书方式等 无 查看业务数据库的管理员是否具有系统管理功能 业务 数据库的操作人员是否具有删除数据库表或存储过程的 权限 通过比对select username from dba users SELECT FROM dba role priv