欢迎来到中国文库网! | 帮助中心 分享价值,成长自我!
中国文库网
全部分类
  • 实用文档 >
    实用文档
    求职/职场 PPT模板库 总结/汇报/计划 主持/演讲稿/致辞/ 思想汇报/心得体会 规章制度 调研述职 学习专题 行政公文 合同协议 方案/研究报告 说明文档 其它范文模版
  • 专业资料 >
    专业资料
    经管营销 IT/计算机 工程科技 人文社科 自然科学 医药卫生 农林牧渔
  • 教育资料 >
    教育资料
    幼儿教育 小学教育 初中教育 高中教育 职业教育 成人教育 高等教育 其它教育资料
  • 资格认证/考试 >
    资格认证/考试
    公务员考试 成考 自考 专升本考试 教师资格考试 司法考试 微软认证 思科认证 注册会计师 全国翻译资格认证 医师/药师资格考试 会计职称考试 报关员资格考试 人力资源管理师 安全工程师考试 出国培训 资产评估师考试 技工类职业技能考试 银行从业资格 计算机等级考试 营养师认证 物流师考试 证券从业资格考试 注册税务师 理财规划师 建筑师考试 质量管理体系认证 建造师考试 英语四六级 英语专业四八级 GRE 雅思/LSAT 托福 其它
  • 学术论文/大学论文 >
    学术论文/大学论文
    毕业论文 期刊/会议论文 管理论文 社科论文 文学论文 开题报告 经济论文 法律论文 医学论文 哲学论文 艺术论文 通讯论文 自然科学论文 论文指导/设计 其它论文
  • 生活休闲专区 >
    生活休闲专区
    饮食 游戏 体育/运动 音乐 旅游购物 娱乐时尚 美容化妆 家具家电 社会民生 影视/动漫 保健养生 随笔 摄影摄像 幽默滑稽 综合/其它
  • 首页 中国文库网 > 资源分类 > DOC文档下载

    数据库-ORACLE现场测评记录表.doc

    • 资源大小:82.00KB        全文页数:8页
    • 资源格式: DOC        下载权限:游客/注册会员/VIP会员    下载费用:1金币 【人民币1元】
    游客快捷下载 游客一键下载
    会员登录下载
    下载资源需要1金币 【人民币1元】

    邮箱/手机:
    温馨提示:
    支付成功后,系统会根据您填写的邮箱或者手机号作为您下次登录的用户名和密码(如填写的是手机,那登陆用户名和密码就是手机号),方便下次登录下载和查询订单;
    特别说明:
    请自助下载,系统不会自动发送文件的哦;
    支付方式: 微信支付    支付宝   
    验证码:   换一换

          加入VIP,免费下载资源
     
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,既可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰   

    数据库-ORACLE现场测评记录表.doc

    深圳市信息安全测评中心 第 1 页 共 8 页项目编号SISITEC(DC)**ORACLE 测评现场记录表2011 年 5 月深圳市信息安全测评中心 第 2 页 共 8 页1.测评对象2.入场确认3.离场确认对象名称及 IP 地址 备注数据库序号 确认内容1 测评对象中的关键数据已备份。如果没有备份则不进行核查。2 测评对象工作正常。如工作异常则不进行核查。开始时间 2011-5-15 确认签字序号 确认内容1 测评工作未对测评对象造成不良影响,测评对象工作正常。结束时间 2011-5-15 确认签字深圳市信息安全测评中心 第 3 页 共 8 页4.测评记录序号类别测评内容 测评方法示例 结果记录 符合情况1 a)应对登陆操作系统和数据库系统的用户进行身份标识和鉴别;1)应检查 Oracle 数据库系统,查看是否存在空口令或默认口令的用户。经访谈数据库管理员(魏巍),不存在空口令和默 认口令用户;目前使用 SYSTEM 用户口令为 11 位(数字 字母); 符合2 b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;1)执行命令select limit from dba_profiles where profile‘DEFAULT’and resource_name‘PASSWORD_VERIFY_FUNCTION’,查看是否启用口令复杂度函数。2)检查 utlpwdmms.sql 中“Check for the minimum length of the password”部分中“lengt(password)”后的值。3)或者查看口令管理制度以及执行记录,并选择验证。1)经现场输入命令后查看, ‘PASSWORD_VERIFY_FUNCTION’的值为 NULL,未启用口令复杂度函数;2)经访谈数据库管理员(魏巍),目前使用 SYSTEM 用户口令为 10 位(数字字母);目前未定期更换口令; 部分符合3 c)应启用登陆失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;1)执行命令select limit from dba_profiles where profile‘DEFAULT’ and resource_name‘FAILED_LOGIN_ATTEMPTS’。2)执行命令select limit from dba_profiles where profile‘DEFAULT’ and resource_name‘PASSWORD_LOCK_TIME’。1)经现场输入命令后查看, ‘FAILED_LOGIN_ATTEMPTS’的值为 10;2)经现场输入命令后查看, ‘PASSWORD_LOCK_TIME’ 的值为 UNLIMITED;说明系统只对限制非法登录次数做配置;部分符合4身份鉴别d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。1)查看 initSID.ora 中 REMOTE_OS_AUTHENT的赋值。2)或者查看 listener.ora 文件中的“LISTENER”-“DESCRIPTION”-“ADDRESS_LIST”-“ADDRESS”经访谈数据库管理员(魏巍),目前通 过 telnet 方式进行远程管理服务器; 不符合深圳市信息安全测评中心 第 4 页 共 8 页序号类别测评内容 测评方法示例 结果记录 符合情况5 e应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;1)执行命令select uesrname from dba_users,查看是否存在相同用户名的账户。2)询问数据库管理员,是否为不同的用户分配不同的用户名。1)经现场输入命令后查看,数据 库不存在相同的用户名账户;2)未为不同的管理员分配不同的用户名,目前管理主要使用 SYS/SYSTEM 用户,其余用户均为数据库默认,未进行区分;符合6 f应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。1)询问数据库的身份鉴别方式,是否使用其他鉴别技术。2)查看配置文件 sqlnet.ora,查看SQLNET.AUTHENTICATION_SERVICES 的值,确认数据库管理系统指定的鉴别方式是否与管理员回答的一致。3)如果使用其他技术,这查看该技术的实现情况。经访谈数据库管理员(魏巍),数据 库仅采用用户名/ 密码的身份鉴别方式。不符合1a应启用访问控制功能,依据安全策略控制用户对资源的访问;1)询问数据库管理员,数据库系统的访问控制策略是什么。2)查看 Oracle 数据库的访问控制策略是否与管理员回答的一致。经访谈数据库管理员(魏巍),目前数据 库管理员有一名,未进行角色划分,目前管理主要使用 SYS/SYSTEM 用户进行管理;不符合2b应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;查看每个登录用户的角色和权限,是否该用户所需的最小权限。经访谈数据库管理员(魏巍),目前数据 库管理员有一名,未进行角色划分,目前管理主要使用 SYS/SYSTEM 用户进行管理;不符合3 c应实现操作系统和数据库系统特权用户的权限分离;询问是否由不同员工分别担任操作系统管理员与数据库管理员。经访谈数据库管理员(魏巍),目前数据 库管理员有一名,未进行角色划分,目前管理主要使用 SYS/SYSTEM 用户进行管理;不符合4访问控制d应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口1)登录验证 sys 的口令是否为CHANGE_ON_INSTALL。2)登录验证 system 的口令是否为经访谈数据库管理员(魏巍),不存在默 认口令用户,密 码均已修改,目前使用 SYS/SYSTEM 用户口令均为 10 位(数字字母特殊字符);经验证sys 、ystem、dbsnmp 这些符合深圳市信息安全测评中心 第 5 页 共 8 页序号类别测评内容 测评方法示例 结果记录 符合情况令; manager。3)登录验证 dbsnmp 的口令是否为dbsnmp。用户均已修改了默认口令;5 e应及时删除多余的、过期的账户,避免共享账户的存在;1)在 sqlplus 中执行命令select username,account_status from dba_users。2)查看返回结果中是否存在scott、outln 、 ordsys 等范例数据库账号。3)针对上述命令获得的用户账号,查看是否存在过期账户,询问数据库管理员是否每一个账户均为正式、有效的账户4)针对上述命令获得的用户账号,询问是否存在多人共享账户的情况1)经现场输入命令后查看,不存在 scott 范例数据库账号,outln、ordsys 范例数据库账号被锁定;2)经访谈数据库管理员(魏巍),每一个 账户均为正式、有效的账户;3)经访谈数据库管理员(魏巍),目前管理主要使用SYS/SYSTEM 用户进行管理,由一名管理员管理;符合6 f应对重要信息资源设置敏感标记;1)检查是否安装 Oracle Label Security 模块select username from dba_users。2)查看是否创建策略SELECT policy_name,status from DBA_SA_POLICIES。3)查看是否常见级别SELECT * FROM dba_sa_levels ORDER BY vel_num。4)查看标签创建情况select * from dba_sa_labels。5)询问重要数据存储表格名称。6)查看策略与模式、表的对应关系select * from dba_sa_tables_policies;判断是否针对重要信息资源设置敏感标签。经访谈数据库管理员(魏巍),未 对重要信息资源设置敏感标记;不符合7 g应依据安全策略严格控制用户对有敏感标记重要信息1)查看用户的标签select * from dba_sa_user_labels。经访谈数据库管理员(魏巍),未 对重要信息资源设置敏感标记;不符合深圳市信息安全测评中心 第 6 页 共 8 页序号类别测评内容 测评方法示例 结果记录 符合情况资源的操作。 2)选择特定的用户和表进行验证策略。1 a审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;1)执行select value from vparameter where name‘audit_trail’,查看是否开启审计功能。2)用不同的用户登录数据库系统并进行不同的操作,在 Oracle 数据库中查看日志记录是否满足要求。经检查, ‘audit_trail’的值为 none;经访谈数据库管理员(魏巍),数据 库未开启审计功能;不符合2b审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;1) show parmeter audit_trail。2) show parameter audit_sys_operations。3) select sel,upd ,del ,ins,gra from dba_obj_audit_opts。4) select sel,upd ,del ,ins,gra from dba_stmt_audit_opts。5) select sel,upd ,del ,ins,gra from dba_priv_audit_opts。经现场输入命令后查看, ‘audit_trail’的值为none;‘audit_sys_operations’ 的值为 false;经访谈数据库管理员(魏巍),数据 库未开启审计功能;不符合3 c审计记录应包括时间的日期、时间、类型、主体标识、客体标识和结果等;记录一条日志内容,确认其包括事件发生的日期与时间、触发时间的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源(如末端标识符) 、事件的结果等内容。经访谈数据库管理员(魏巍),数据 库未开启审计功能;不符合4 d应能够根据记录数据进行分析,并生成审计报表;询问管理员是否安装并使用 Oracle Audit Vault 等日志分析工具并查看相关报表。经访谈数据库管理员(魏巍),数据 库未开启审计功能; 不符合5 e应保护审计进程,避免受到未预期的中断;1)询问是否严格限制管理员权限。2)用户可以通过 alter system set audit_trailnone 并重启实例关闭审计功能,查看是否成功。经访谈数据库管理员(魏巍),数据 库未开启审计功能;目前管理主要使用 SYS/SYSTEM 用户,未严格限制管理员权限;不符合6安全审计f应保护审计记录,避免受 是否严格限制用户访问审计记录的权限,如 经访谈数据库管理员(魏巍),数据 库未开启审计功能。 不符深圳市信息安全测评中心 第 7 页 共 8 页序号类别测评内容 测评方法示例 结果记录 符合情况到未预期的删除、修改或覆盖等;采用 audit vault 等。 合1a应通过设定终端接入方式、网络地址范围等条件限制终端登录;查看服务器端 sqlnet.ora 中是否配置了以下参数tcp.validnode_checkingtcp.Invited_nodes。经访谈数据库管理员(魏巍),在天融信防火 墙做了配置,只有办公网段的几个 IP 地址及部分服务器才能登录此服务器; 符合2 b应根据安全策略设置登录终端的操作超时锁定;查看空闲超时设置select limit from dba_profiles where profile‘DEFAULT’and resource_name‘IDLE_TIME’。经访谈数据库管理员(魏巍),未 设置登录终端的操作超时锁定; 不符 合3资源控制 c应限制单个用户对系统资源的最大或最小使用限度。1)确定用户使用的 profileselect username,profile from dba_users,针对指定用户的 profile,查看其限制(以 default 为例) 。2) select limit from dba_profiles where profile‘DEFAULT’and resource_name‘SESSIONS_PER_USER’。3) select limit from dba_profiles where profile‘DEFAULT’and resource_name‘SESSIONS_PER_USER’。4) select limit from dba_profiles where profile‘DEFAULT’and resource_name‘IDLE_TIME’。经访谈数据库管理员(魏巍),未限制 单个用户对系统资源的最大或最小使用限度;不符合1 备份和恢a)应提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;1)询问系统管理员数据库的备份和恢复策略是什么,查看是否达到上述要求。2)检查相关文档和配置,查看是否与系统管理员回答的一致。经访谈数据库管理员(魏巍),数据 库数据无异地备份, 每天对数据库数据进行全备份,数据 库数据在存储设备存放4 个月为周期 ; 部分符合深圳市信息安全测评中心 第 8 页 共 8 页序号类别测评内容 测评方法示例 结果记录 符合情况2复 b应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地。1)询问系统管理员是否提供异地数据备份功能,是否定时批量传送至备用场地。2)如果条件允许,则查看其实现技术措施的配置情况。经访谈数据库管理员(魏巍),数据 库数据无异地备份, 每天对数据库数据进行全备份,数据 库数据在存储设备存放4 个月为周期。不符合

    注意事项

    本文(数据库-ORACLE现场测评记录表.doc)为本站会员(520AC)主动上传,中国文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知中国文库网(发送邮件至277317659@qq.com或直接QQ联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。

    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

    copyright@ 2018 zgwenku网站版权所有
    ICP备案编号:蜀ICP备18016090号

    收起
    展开