测评项:
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
测评方法:
1)访问【DM管理工具界面】,询问管理员使用哪种鉴别方式登录数据库并验证登录过程;
2)通过【数据库查询窗口】执行“SELECT USERNAME FROM DBA_USERS;”命令可以看到用户列表,查看是否存在登录名相同的账户;
<经不严谨的测试发现,无法创建同名账户>
3)登录数据库并验证登录过程,验证是否存在空口令账户;
<经不严谨的测试发现,空口令无法登录>
4)通过【数据库查询窗口】执行“SELECT USERNAME,PASSWORD_VERSIONS,EXPIRY_DATE FROM DBA_USERS;”命令可以看到口令策略与口令有效期;
<用户口令最长为48字节,系统支持的口令策略有:
· 0 无策略
· 1 禁止与用户名相同
· 2 口令长度不小于9
· 4 至少包含一个大写字母(A-Z)
· 8 至少包含一个数字(0-9)
· 16 至少包含一个标点符号(英文输入法状态下,除“和空格外的所有符号)>
或在【用户】列中,依次右键点击所有用户,点击【修改】,点击【资源限制】,可以看到口令策略与口令有效期。
测评项:
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
测评方法:
1)在【用户】列中,依次右键点击所有用户,点击【修改】,点击【资源限制】,可以看到登录失败处理功能是否开启,查看登录失败次数及口令锁定期;
测评项:
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
测评方法:
1)通过【数据库查询窗口】执行“SELECT * FROM V$PARAMETER WHERE NAME='ENABLE_ENCRYPT' OR NAME='COMM_ENCRYPT_NAME';”命令查看是否使用SSL加密通信。
<ENABLE_ENCRYPT为1则采用SSL加密,COMM_ENCRYPT_NAME为空则不进行加密;
数据库服务器所在目录下的server_ssl子目录中存放CA的证书、服务器的证书和服务器的密钥,同时在客户端所在目录下的client_ssl子目录中存放CA的证书、客户端的证书和客户端的密钥,这样服务器和客户端的通信即是建立在加密的SSL连接之上的。>
测评项:
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
测评方法:
1)询问并查看数据库管理员在登录数据库的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令、数字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术。