网络安全等保:Oracle数据库测评

这篇具有很好参考价值的文章主要介绍了网络安全等保:Oracle数据库测评。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

以下结果以Oracle 11g为例,通过PL/SQL进行管理,未进行任何配置、按照等保2.0标准,2021报告模板,三级系统要求进行测评。

一、身份鉴别

a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

sysdba是Oracle数据库的最高权限管理员。通常使用sqlplus或PL/SQL 管理软件进行管理,PL/SQL 为第三方管理软件,但SQL查询语句一样。

注:sysdba如果是本地管理,乱输密码也能登录成功,需要改sqlnet.ora文件。

1. 管理员登录数据库时是是否需要输入用户名/口令,不存在空口令;

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

2. 使用 Select username,account_status from dba_users; 显示所有能登录数据库的用户信息:(),那些是open那些是locked,UID是否唯一

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

3. 通过命令 **select * from dba_profiles where resource_type=‘password’;SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE=‘DEFAULT’ AND RESOURCE_NAME=‘PASSWORD_VERIFY_FUNCTION’;**如果为NULL则为未设置密码复杂度要求。

为了感谢广大读者伙伴的支持,准备了以下福利给到大家:

1、200多本网络安全系列电子书(该有的都有了)

2、全套工具包(最全中文版,想用哪个用哪个)

3、100份src源码技术文档(项目学习不停,实践得真知)

4、网络安全基础入门、Linux、web安全、攻防方面的视频(2021最新版)

6、 网络安全学习路线(告别不入流的学习)

7、ctf夺旗赛解析(题目解析实战操作)

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

若有设置应为

(1)PASSWORD_LOGIN_ATTEMPTS = 登录尝试次数; (2)PASSWORD_LIFE_TIME = unlimited 未设置口令有效期; (3)PASSWORD_ROUSE_MAX = unlimited 未设置重新启用一个先前用过的口令前必须对该口令进行重新设置的次数(重复用的次数); (4)PASSWORD_VERIFY_FUNCITON = NULL,未设置口令复杂度校验函数; (5)PASSWORD_GRACE_TIME=,口令修改的宽限期天数:7;

b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

1. 通过输入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE=‘DEFAULT’ AND RESOURCE_NAME=‘FAILED_LOGIN_ATTEMOTS’;, 查询结果若为’UNLIMITED’则无登录重试次数限制,超过此值用户被锁定。可以通过ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 10(重试次数10次)

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

2. 通过输入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE=‘DEFAULT’ AND RESOURCE_NAME=‘PASSWORD_LOCK_TIME’;, 查询结果若为’unlimited’则无登录失败次数锁定限制。可以通过ALTER PROFILE DEFAULT LIMIT PASSWORD_LOCK_TIME 1/24(重试失败后锁定一天)

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

3. 通过输入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE=‘DEFAULT’ AND RESOURCE_NAME=‘IDLE_TIME’;, 查询结果若为’UNLIMITED’则无登录超时限制。

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

采用sqlplus或PL/SQL连接数据库,对数据库进行管理,客户端与服务器端之间通信是加密的,故Oracle该项默认符合。

d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

经访谈管理员,是否采用双因子身份鉴别技术,鉴别技术是什么 。默认都不符合。

二、访问控制

a) 应对登录的用户分配账户和权限;

通过输入**Select username,account_status from dba_users;**语句,主要查看数据库存在那些可用用户,至少得有两个,该测评项就需要Oracle中存在至少两个账户,且这两个账户的权限不一样。

1.为用户分配了账户和权限及相关设置情况,主要看可用账户(例如采用“用户权限列表”); 2.是否已禁用或限制匿名、默认账户的访问权限。如只有MGMT_UIEW,SYSTEM,SYS,DBSNMP为启用状态,其他均为启用状态,则为符合。

b) 应重命名或删除默认账户,修改默认账户的默认口令

在Oracle中默认用户最常用的就是SYS和SYSTEM这两个账户。 1.是否已经重命名SYS、SYSTEM、DBSNMP等默认帐户名或已修改默认口令,sys默认口令为CHANGE_ON_INSTALL;SYSTEM:MANAGER;DBSNMP的默认口令为:DBSNMP。可以登录测试。

c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在

访谈管理员是否存在多余或过期账户,管理员用户与账户之间是否一一对应通过输入**Select username,account_status from dba_users;**查看是否存在默认帐户SCOTT/OUTLN/ORDSY等用户,不存在acount_status为expired的账户。访谈管理员是否存在共享账户等。示例不符合。

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

d) 应授予管理用户所需的最小权限,实现管理用户的权限分离··

1. 通过输入**Select username,account_status from dba_users;**查看状态为open的用户的用途。是否进行角色划分,是否有多个用户进行管理数据库; 2. 通过输入 **select * from dba_tab_privs where grantee=‘SYS’ ORDER BY GRANTEE;**查看SYS最高权限授予给那些用户,得知管理用户的权限是否已进行分离;

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

3. 通过访谈管理员、管理用户权限是否为其工作任务所需的最小权限,是否存在相应的用户权限表。 4. 通过输入select granted_role from dba_role_privs where grantee=‘PUBLIC’; 返回值( ) 得知public是否被授权给用户,有就不符合 ; 5. 通过在命令窗口输入Show parameter O7_DICTIONARY_ACCESSIBILITY;返回值(是否为false);(该参数设置为false为符合,如果用户具有了any table权限,则可以访问除sys用户之外的其他用户的对象,也就无权访问数据字典基表。)

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

TIPS: sql语句在 PL/sql的文件–》sql窗口执行,show等命令语句在命令窗口执行。sqlplus则不区分。

综上判断符合程度。

e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则

通过访谈管理员,是否由特定账户为登录用户分配角色和权限。是否存在具体的访问规则。

f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级

1.通过访谈数据库管理员,是否制定数据库访问控制策略,访问控制的粒度为数据库表级。此项默认符合。

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问

通过访谈数据库管理员: 是否对重要主体和客体设置安全标记。 oracle自身应该不具备这个功能,可能要依靠操作系统或者第三方的什么软件如Oracle_Label_Security来实现了。该项一般默认都不符合。

三、安全审计

a) 应启用安全审计功能,审计覆盖到每个用 户,对重要的用户行为和重要安全事件进行审计

Oracle自带有审计功能,可以通过audit_trail参数来开启使用。 1. 通过输入 show parameter audit_trail;返回值默认为DB,即为普通用户开启审计功能,若为none则为未开启状态;

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

2. 通过输入 **select * from dba_stmt_audit_opts;和select * from dba_priv_audit_opts;**返回结果如User_Name为空值,对这些重要事件开启审计,并且这个审计是针对所有用户的,符合要求。

oracle 等保,oracle,数据库,web安全,网络安全,等保测评oracle 等保,oracle,数据库,web安全,网络安全,等保测评

3. 通过输入 **show parameter audit_sys_operations;**返回结果 audit_sys_operations boolean FALSE 则未对SYSDBA或SYSOPER特权连接时直接发出的SQL语句进行审计,需要开启,默认为false。

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

综上分析判断符合程度。

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

通过输入 **select * from aud$; **查看审计日志的格式,默认符合。(输入show parameter dump_dest 得出backgroup_dump_dest的值为日志文件的位置。)。下图没有显示完全。

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等

1. 通过访谈管理员, 是否采取技术措施对审计记录进行定期备份,采用的技术措施及备份策略是怎么样的?如通过syslog端口导入到日志服务器。 2. 是否只有特定的管理员拥有对审计记录的操作权限,普通用户无法访问审计记录。

d) 应对审计进程进行保护,防止未经授权的中断

Oracle默认符合此项。 1. 通过查看sysdba、sysoper权限被授予给了谁,非管理员账户是否可以中断审计进程,审计进程是否进行了保护。 2. 通过输入**alter system set audit_trail=none; **得出无法成功即符合。示例为sysdba最高权限管理员登录,能够进行操作。需要通过一个普通用户登录,查看此条命令是否能够执行,若能此项就不符合。

oracle 等保,oracle,数据库,web安全,网络安全,等保测评

四、入侵防范

a) 应遵循最小安装的原则,仅安装需要的组件和应用程序

通过输入**select * from v$option;**得知安装的组件是否多余。value为true为安装了。[图片上传失败…(image-c9a1b2-1634546762405)]

b) 应关闭不需要的系统服务、默认共享和高危端口

此项不适用,数据库不涉及此项。

c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

通过查看oracle的安装路径中的sqlnet.ora文件查看tcp.validnode_checking/tcp/invited_nodes的配置是否为: tcp.validnode_checking=yes tcp,invited_nodes=() 得知是否设置了远程连接IP。

大部分未设置,基本都是通过远程管理操作系统间接远程数据库。

d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求8

此项不适用,数据库不涉及此项。

e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞

1、 访谈管理员是否定期或不定期进行漏洞扫描或渗透测试,周期为 ( ); 2、通过本次漏洞扫描是否发现与数据库相关的高危漏洞,若存在,是否及时进行漏洞修补。

f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警

此项不适用,数据库不涉及此项。

五、恶意代码防范

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断

此项不适用,数据库不涉及此项。

六、可信验证

可基于可信根对计算设备的系统引导程序、 系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

通过访谈管理员,是否采取了可信技术,一般都是未采取。可信技术主要是基于可信芯片、可信根,硬件层面较多。但是现在市面上的产品尚未大量普及。

七、其他控制点

数据完整性、数据保密性、数据备份与恢复、剩余信息保护、个人信息保护均不在此处考虑,放在安全计算环境中的五类数据中统一体现。

网络安全成长路线图

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:
oracle 等保,oracle,数据库,web安全,网络安全,等保测评
oracle 等保,oracle,数据库,web安全,网络安全,等保测评

# 网络安全学习方法

​ 上面介绍了技术分类和学习路线,这里来谈一下学习方法:
​ ## 视频学习

​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!oracle 等保,oracle,数据库,web安全,网络安全,等保测评文章来源地址https://www.toymoban.com/news/detail-641495.html

到了这里,关于网络安全等保:Oracle数据库测评的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全全栈培训笔记(56-服务攻防-数据库安全&H2&Elasticsearch&CouchDB&Influxdb复现)

    知识点: 1、服务攻防数据库类型安全 2、influxdb,.未授权访问wt验证 3、H2 database-未授权访问-配置不当 4、CouchDB-权限绕过配合RCE-漏洞 5、ElasticSearch-文件写入RCE-漏洞 #章节内容: 常见服务应用的安全测试: 1、配置不当-未授权访问 2、安全机制特定安全漏洞 3、安全机制弱口令

    2024年01月23日
    浏览(49)
  • 网络安全进阶学习第十二课——SQL手工注入3(Access数据库)

    判断数据库类型 —— 判断表名 —— 判断列名 —— 判断列名长度 —— 查出数据。 asp的网站,常用数据库为access、sqlserver。 and exsits (select * from msysobjects)0 access and exsits (select * from sysobjects)0 sqlserver 上述语句 会返回1或者0 。 msysobjects是access的默认数据库 , sysobjects是sqlserv

    2024年02月11日
    浏览(52)
  • 网络安全全栈培训笔记(55-服务攻防-数据库安全&Redis&Hadoop&Mysqla&未授权访问&RCE)

    知识点: 1、服务攻防数据库类型安全 2、RedisHadoopMysql安全 3、Mysql-CVE-2012-2122漏洞 4、Hadoop-配置不当未授权三重奏RCE漏洞 3、Redis-配置不当未授权三重奏RCE两漏洞 #章节内容: 常见服务应用的安全测试: 1、配置不当-未授权访问 2、安全机制特定安全漏洞 3、安全机制弱口令爆

    2024年01月23日
    浏览(45)
  • 【网络安全---sql注入(2)】如何通过SQL注入getshell?如何通过SQL注入读取文件或者数据库数据?一篇文章告诉你过程和原理。

    分享一个非常详细的网络安全笔记,是我学习网安过程中用心写的,可以点开以下链接获取: 超详细的网络安全笔记 本篇博客主要是通过piakchu靶场来讲解如何通过SQL注入漏洞来写入文件,读取文件。通过SQL输入来注入木马来getshell等,讲解了比较详细的过程; 如果想要学习

    2024年02月07日
    浏览(51)
  • 【网络安全】等保测评&安全物理环境

    等级保护对象是由计算机或其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 在通常情况下,等级保护对象的相关设备均集中存放在机房中,通过其他物理辅助设施来保障安全。 安全物理环境针对物理机房提出了安全

    2024年02月13日
    浏览(40)
  • 网络安全设备-等保一体机

    本文为作者学习文章,按作者习惯写成,如有错误或需要追加内容请留言(不喜勿喷) 本文为追加文章,后期慢慢追加 等保一体机的功能 等保一体机产品主要依赖于其丰富的安全网元(安全网元包括:防火墙、IPS、WAF、网络审计、数据库审计、EDR、VPN、基线、漏扫、堡垒机

    2024年02月14日
    浏览(46)
  • 等保测评--安全通信网络--测评方法

    一、测评对象 路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件 二、测评实施 1) 应核查业务高峰时期一段时间内主要网络设备(一般包括核心交换机、汇聚交换机、边界路由器、主要边界的防火墙等串联安全设备)的CPU使用率和内存使用率是否

    2024年02月11日
    浏览(43)
  • 等保测评2.0——网络安全等级保护测评的初步了解

    一、什么是网络安全等级保护测评? 二、网络安全等级保护,保护的是什么? 等级保护对象:网络安全等级保护工作直接作用的对象。(注:主要包括信息系统、通信网络设施和数据资源等) 计算机信息系统:由计算机及其相关的配合的设备、设施(含网络)构成的,按照

    2024年04月14日
    浏览(53)
  • 黑龙江等保测评安全计算环境之应用系统测评项,保护网络安全。

    安全计算环境之应用系统 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 “1)询问系统管理员,用户在登录时是否采用了身份鉴别措施 2)在未登录状态下直接访问任一操作页面或操作功能 3)核查用户身份标识

    2024年04月11日
    浏览(42)
  • Oracle数据库安全评估工具(DBSAT)

    Oracle数据库安全评估工具(DBSAT)是一个流行的命令行工具,它可以帮助识别数据库配置、操作或实施引入风险的领域,并建议改变和控制以减少这些风险。DBSAT帮助评估数据库配置的安全程度,确定谁是用户和他们的权利,并确定敏感数据在数据库中的位置。DBSAT可以区分企

    2024年02月06日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包