vlambda博客
学习文章列表

等保2.0安全计算环境之Oracle差距分析(二)


等保2.0安全计算环境

Oracle差距分析


Part

3

安全审计


a)

应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;





检查方法




① 执行: show parameter audit, 查看是否开启审计功能


② 用不同的用户登录数据库系统并进行不同的操作,在Oracle数据库中查看日志记录是否满足要求。(原始日志人工无法阅读,应接入日志审计工具或数据库审计)


结果判定


audit_trail(普通用户审计)结果应为DB;

audit_sys_operations(系统用户)应为TRUE;

则符合。

或在日志审计工具或设备中收到日志记录

等保2.0安全计算环境之Oracle差距分析(二)




结果记录




audit_trail的值 audit_sys_operations的值。



整改方法

开启审计进程:

set audit_trail=db,extended scope=spfile

开启系统用户审计:

alter system set audit_sys_operations=TRUE scope=spfilealter system


②部署数据库审计或日志审计


b)

审计记录应包括事件的日期和时间,用户、事件类型,事件是否成功及其他与审计相关的信息;


检查与整改方法同a)。


c)

应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;





检查方法




(1)询问管理员使用何种方法对日志文件进行备份,备份的方式,周期,位置等;


(2)询问是否部署日志审计系统或数据库审计系统,并查看是否存储超过180天。


结果判定


(1)安全审计管理员定期对审计记录进行备份,对审计记录的维护和导出由专人负责则符合;


(2)部署了审计系统且保存超过180天则符合。




结果记录




《备份记录表》。



整改方法

定期备份日志文件或部署数据库审计/日志审计系统。


d)

应对审计进程进行保护,防止未经授权的中断。


改部分a)符合则默认符合。


Part

4

入侵防范


a)





检查方法




执行show parameter remote_login_passwordfile查看结果是否支持远程登录

等保2.0安全计算环境之Oracle差距分析(二)


方法一:

查看在sqlnet. ora文件中是否配置参数: tcp.validnode_checking ,tcp,invited_nodes。


方法二:

是否通过数据库服务器的防火墙对远程访问数据库的端口进行限制。


结果判定


(1)tcp.validnode_checking=yes


(2)数据库服务器防火墙配置了1521端口的访问控制策略。


(3)数据库未进行远程登录同。

remote_login_passwordfile:

exclusive:启用口令文件,允许远程登录;

NONE:停用口令文件验证,Oracle数据库不允许远程SYSDBA/SYSOPER身份登录,无法通过远程进行数据库起停等操作管理;

shared,多个数据库可以共享一个口令文件,但是只可以识别一个用户:SYS。




结果记录




是否支持远程登录remote_login_passwordfile值;

是否在防火墙进行访问控制,允许哪些IP远程;

是否在sqlnet.ora进行访问控制,允许哪些IP远程。



整改方法

(1)修改sqlnet.ora文件

tcp.validnode_checking=yes


(2)数据库服务器防火墙配置1521端口的访问控制策略


b)

应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。





检查方法




① 实时关注国家信息安全漏洞库http://www.cnnvd.org.cn/ 或数据库官方通告,及时发现数据库版本是否存在漏洞。


② 使用数据库漏洞扫描设备进行扫描。


结果判定


未发现数据库对应版本有相关漏洞,数据库漏扫结果未存在漏洞则符合。




结果记录




记录数据库漏扫结果。



整改方法

访问数据库官方网站或漏扫设备推荐补丁链接进行数据库安全升级。


参考资料:

https://www.cnblogs.com/qmfsun/p/3852193.html

https://blog.csdn.net/zz13995900221/article/details/80367663

https://www.cnblogs.com/black-start/p/11044695.html

https://www.cnblogs.com/kerrycode/p/11087044.html


声明:

Forest Team拥有该文章的修改和解释权。如欲引用、转载或传播此文章,必须包括版权声明等全部内容。未经Forest Team允许,不得任意修改或删减文章内容,不得以任何方式将其用于商业目的。


The

End