2024年5月29日发(作者:)

等级保护测评 【数据库Oracle】 三级 详解测评要求项、测评方

法及测评步骤

身份鉴别

a)应对数据库系统的用户进行身份标识和鉴别;

测评方法及步骤:

1)以默认口令或者常见口令尝试登录数据库,查看是否成功,查看是否需要口令以及

是否存在空口令

$ sqlplus/nolog

SQL>connuser/password as sysdba

2)或者使用Oracle客户端管理控制台(Enterprise Manager Console)进行登录

3)默认口令包括sys/change_on_install;system/manager,scott/tiger,常用口令包括

oracle:admin/oracle;sys:admin:oracle等。(更改用户口令alter user user_name

identified by password),或者用select * from dba_users;查看账号口令;

b)数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定

期更换;

测评方法及步骤:

1)select username,profile fromdba_user;了解用户使用的profile

2)select * from dba_profiles whereprofile='default';查看系统本身的profile的配

置参数都有哪些?

PASSWORD_VERIFY_FUNCTIONverify_function为密码复杂度验证函数已经开启。

这个oracle默认verify_function()函数,要求口令密码最小长度4、不能和用户名相同、

至少有一个字母、数字和特殊字母,旧密码和新密码至少有三位不同。如果你觉得这个要

求还太低,那你就创建自己复杂的验证函数

3)检查中"-- Check for the minimum length of the password"部

分中"length (password)<"后的值;

c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

测评方法及步骤:

1)select limitfrom dba_profiles

where resource_name='FAILED_LOGIN_ATTEMPTS

FAILED_LOGIN_ATTEMPTS:最大错误登录次数

PASSWORD_GRACE_TIME:口令失效后锁定 时间