等级保护测评 【数据库Oracle】 ，三级详解测评要求 项、测评方法及测评步骤 身份鉴别 a)应对数据库系统的用户进行身份标识和鉴别； 测评方法及步骤： 1）以默认口令或者常见口令尝试登录数据库，查看是否成功，查看 是否需要口令以及是否存在空口令 $ sqlplus/nolog SQL>connuser/password as sysdba 2）或者使用Oracle客户端管理控制台（EnterpriseManagerConsole） 进行登录 3) 默 认 口 令 包 括 sys/change_on_install;system/manager，scott/tiger，常用口令包 括oracle:admin/oracle;sys:admin:oracle等。（更改用户口令alter user user_name identified bypassword)，或者用 select * from dba_users;查看账号口令； b)数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有 复杂度要求并定期更换； 测评方法及步骤： 1）selectusername,profile fromdba_user；了解用户使用的profile 2）select*fromdba_profileswhereprofile='default'；查看系统 本身的profile的配置参数都有哪些？ PASSWORD_VERIFY_FUNCTIONverify_function为密码复杂度验证函数 已经开启。这个oracle默认verify_function（）函数，要求口令密 码最小长度4、不能和用户名相同、至少有一个字母、数字和特殊字 母，旧密码和新密码至少有三位不同。如果你觉得这个要求还太低， 那你就创建自已复杂的验证函数 3） 检查 utlpwdmg.sql 中"-- Check for the minimum length of the password"部分中"length（password)<"后的值; c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和 自动退出等措施； 测评方法及步骤： 1)select limitfrom dba_profiles FAILED_LOGIN_ATTEMPTS：最大错误登录次数 PASSWORD_GRACE_TIME：口令失效后锁定时间 PASSWORD_LIFE_TIME：口令有效时间 PASSWORD_LOCK_TIME：登录超过有效次数锁定时间 查看有无对各项进行时间/次数上的设置和限制； d)当对服务器进行远程管理时，应采取必要措施，防治鉴别信息在网 络传输过程中被窃听； 测评方法及步骤 1）询问管理员是否采取加密手段保证数据库的访问信息不被窃听 2)在9i中查看数据库安装目录下的 \admin\DB_NAME\pfile\initSID.ora中REMOTE_OS_AUTHENT的赋值， 确认是否允许管理员对数据库进行远程连接和管理，其他版本用命令 “SHOW PARAMETERSAUTH；”记录是否允许远程访问 3)或者图形界面管理中查看打开Oracle客户端管理控制台 Enterprise Manager Console）；添加被评估数据库的连接信息，使 用sys或system用户登录数据库；在左侧菜单栏中打开“例程”，选 中“配置”栏，再选择“一般信息”页面，点击“所有初始化参数”； 在弹出的界面中，查看“remote_os_authent”参数行的设置，为是否 允许远程连接，如实记录该原始数据或拷屏 4）查看lsnrctlstatus查看是否存在TCPS协议： e）应为数据库系统的不同用户分配不同的用户名，确保用户名具有唯 一性； 测评方法及步骤： 1）询问管理员，是否为不同的用户分配了不同的账户。可检索账户 “selectusername,account_status from dba_users”，并询问是否建 立制度，确保不同人员使用不同用户登录数据库系统；