Oracle11g三级安全测评指南：身份鉴别与口令管理

"这篇文档是针对信息安全等级保护测评在Oracle11g数据库系统中的三级测评指导，主要关注数据库安全，提供了具体的测评项和实施步骤，旨在确保系统的安全性，避免空口令、默认口令和弱密码的存在，并要求口令具备复杂度要求且定期更换。" 在信息安全领域，等级保护测评是一项重要的工作，它根据《信息安全等级保护基本要求》对信息系统进行分等级的安全保护。针对Oracle 11g数据库系统，三级测评主要关注的是基础安全措施和增强的安全策略。以下是对文档中提到的部分控制点和测评项的详细解释： 1. 身份鉴别： - a) 用户身份标识与鉴别：测评时，需要检查Oracle数据库系统中是否存在空口令或默认口令的用户。Oracle虽然在安装时已经避免了默认口令，但应定期检查并禁止使用这些已知的弱口令。例如，sys、system、sysman、scott、aqadm、dbsnmp等账户不应使用默认或公开的密码。 - b) 口令复杂度和更换：系统应启用口令复杂度函数，确保口令长度至少为8个字符，防止使用简单易猜的密码。可以使用SQL查询检查`dba_profiles`来验证口令策略，确保`PASSWORD_VERIFY_FUNCTION`设置正确。 2. 操作系统和数据库系统管理： - 在操作系统层面，除了口令策略外，还应关注权限管理和访问控制，确保只有授权的人员才能访问数据库系统。此外，应限制对敏感数据的访问，并实施审计机制，以便跟踪和记录所有重要的操作。 3. 数据库安全配置： - 应启用审计功能，监控数据库的异常行为和关键操作，例如登录尝试、权限变更、数据修改等。 - 数据库的备份和恢复策略应得到妥善管理，以防止数据丢失或损坏。 - 应使用加密技术保护存储在数据库中的敏感数据，防止未授权访问。 - 定期进行安全更新和补丁管理，保持系统软件的最新状态，抵御已知的安全威胁。 4. 访问控制： - 应设置严格的访问控制策略，包括最小权限原则，确保每个用户只拥有完成其职责所需的最低权限。 - 使用角色权限管理，将多个权限分配给角色，而不是直接分配给用户，便于管理和控制。 5. 审计与监控： - 配置日志记录和审计功能，记录所有重要活动，以便在发生安全事件时进行追踪和调查。 通过上述步骤的实施，可以有效地提高Oracle 11g数据库系统的安全级别，满足等级保护三级的要求。这不仅涉及技术层面的防护，还包括了安全管理、策略制定和执行等多个方面，确保了整体信息系统的安全性和合规性。