等保2.0安全计算环境之Oracle差距分析(二)
等保2.0安全计算环境
Oracle差距分析
Part
3
安全审计
a)
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
检查方法
① 执行: show parameter audit, 查看是否开启审计功能
② 用不同的用户登录数据库系统并进行不同的操作,在Oracle数据库中查看日志记录是否满足要求。(原始日志人工无法阅读,应接入日志审计工具或数据库审计)
结果判定
audit_trail(普通用户审计)结果应为DB;
audit_sys_operations(系统用户)应为TRUE;
则符合。
或在日志审计工具或设备中收到日志记录
结果记录
audit_trail的值 audit_sys_operations的值。
整改方法
①开启审计进程:
set audit_trail=db,extended scope=spfile
开启系统用户审计:
alter system set audit_sys_operations=TRUE scope=spfilealter system
②部署数据库审计或日志审计
b)
审计记录应包括事件的日期和时间,用户、事件类型,事件是否成功及其他与审计相关的信息;
检查与整改方法同a)。
c)
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
检查方法
(1)询问管理员使用何种方法对日志文件进行备份,备份的方式,周期,位置等;
(2)询问是否部署日志审计系统或数据库审计系统,并查看是否存储超过180天。
结果判定
(1)安全审计管理员定期对审计记录进行备份,对审计记录的维护和导出由专人负责则符合;
(2)部署了审计系统且保存超过180天则符合。
结果记录
《备份记录表》。
整改方法
定期备份日志文件或部署数据库审计/日志审计系统。
d)
应对审计进程进行保护,防止未经授权的中断。
改部分a)符合则默认符合。
Part
4
入侵防范
a)
检查方法
执行show parameter remote_login_passwordfile查看结果是否支持远程登录。
方法一:
查看在sqlnet. ora文件中是否配置参数: tcp.validnode_checking ,tcp,invited_nodes。
方法二:
是否通过数据库服务器的防火墙对远程访问数据库的端口进行限制。
结果判定
(1)tcp.validnode_checking=yes
(2)数据库服务器防火墙配置了1521端口的访问控制策略。
(3)数据库未进行远程登录同。
remote_login_passwordfile:
exclusive:启用口令文件,允许远程登录;
NONE:停用口令文件验证,Oracle数据库不允许远程SYSDBA/SYSOPER身份登录,无法通过远程进行数据库起停等操作管理;
shared,多个数据库可以共享一个口令文件,但是只可以识别一个用户:SYS。
结果记录
是否支持远程登录remote_login_passwordfile值;
是否在防火墙进行访问控制,允许哪些IP远程;
是否在sqlnet.ora进行访问控制,允许哪些IP远程。
整改方法
(1)修改sqlnet.ora文件
tcp.validnode_checking=yes
(2)数据库服务器防火墙配置1521端口的访问控制策略
b)
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
检查方法
① 实时关注国家信息安全漏洞库http://www.cnnvd.org.cn/ 或数据库官方通告,及时发现数据库版本是否存在漏洞。
② 使用数据库漏洞扫描设备进行扫描。
结果判定
未发现数据库对应版本有相关漏洞,数据库漏扫结果未存在漏洞则符合。
结果记录
记录数据库漏扫结果。
整改方法
访问数据库官方网站或漏扫设备推荐补丁链接进行数据库安全升级。
参考资料:
https://www.cnblogs.com/qmfsun/p/3852193.html
https://blog.csdn.net/zz13995900221/article/details/80367663
https://www.cnblogs.com/black-start/p/11044695.html
https://www.cnblogs.com/kerrycode/p/11087044.html
声明:
Forest Team拥有该文章的修改和解释权。如欲引用、转载或传播此文章,必须包括版权声明等全部内容。未经Forest Team允许,不得任意修改或删减文章内容,不得以任何方式将其用于商业目的。
The
End