Oracle Database,也被称为Oracle RDBMS或简称Oracle,是甲骨文公司的一款关系数据库管理系统。
本次的安装环境是Windows10专业版操作系统,数据库版本为11.2.0.1,由于是单机部署,操作较为简单这里不再进行详细的讲解。此篇文章针对Oracle 11g的等保测评进行实际操作指导,若有不当之处,敬请留言指正,共同学习。
二、等保测评
身份鉴别
1) 检查登录Oracle是否采用用户名和口令登录方式。
2) 执行相关命令,查看输出结果,若为null则表示未设置相关参数。
对于“PASSWORD_LOGIN_ATTEMPTS”、“PASSWORD_LIFE_TIME”等参数,查看其设置值并理解其意义。
3) 执行特定命令查看用户名信息是否唯一。
4) 执行其他相关命令,查看未锁定的所有用户信息。
其他安全措施
1) 确认是否采用加密等安全方式对系统进行远程管理,若用户全是localhost则判定为本地管理。
2) 了解并确认是否采用sqlplus或PL/SQL连接数据库,并对通信过程中的加密措施进行验证。
双因子身份鉴别的实现情况,访谈管理员并查看实际实现情况。
访问控制
查看账户的管理权限,询问管理员关于无人使用账户的存在情况及删除建议。
不同用户是否采用不同账户登录数据库,查看已启用的账户及权限分配情况。
访谈和查理员的访问控制策略及权限分离情况。
数据完整性与保密性
了解并确认是否采用密码技术保证重要数据在传输和存储过程中的完整性及保密性。
对于数据完整性,检查数据库表中的重要数据是否明文存储,并了解数据库本身的加密功能及使用情况。
数据备份恢复
访问管理员,了解并确认重要数据的本地及异地备份策略,检查备份情况及恢复测试记录。
了解系统的高可用性保障措施,如集群部署、双机热备等。
剩余信息保护与个人信息保护
了解并确认鉴别信息存储空间的清除机制,以及存有敏感数据的存储空间在释放或重新分配前的清除情况。
检查是否仅采集和保存业务必需的用户个人信息,并验证是否禁止了未授权访问和非法使用用户个人信息。
在等保测评中,我们会发现Oracle数据库在大部分配置上都可以实现安全要求。但在实际测评过程中,很多单位可能会因为担心影响系统运行而不愿意配置所需的策略。在安全与生产、安全与管理之间需要做好平衡。