測評項:
a) 應對登錄的用戶進行身份標識和鑒別����,身份標識具有唯一性����,身份鑒別信息具有復雜度要求并定期更換����;
測評方法:
1)訪問【DM管理工具界面】���,詢問管理員使用哪種鑒別方式登錄數據庫并驗證登錄過程���;
2)通過【數據庫查詢窗口】執行“SELECT USERNAME FROM DBA_USERS;”命令可以看到用戶列表����,查看是否存在登錄名相同的賬戶���;
<經不嚴謹的測試發現�,無法創建同名賬戶>
3)登錄數據庫并驗證登錄過程,驗證是否存在空口令賬戶�����;
<經不嚴謹的測試發現�,空口令無法登錄>
4)通過【數據庫查詢窗口】執行“SELECT USERNAME,PASSWORD_VERSIONS,EXPIRY_DATE FROM DBA_USERS;”命令可以看到口令策略與口令有效期��;
<用戶口令最長為48字節��,系統支持的口令策略有:
· 0 無策略
· 1 禁止與用戶名相同
· 2 口令長度不小于9
· 4 至少包含一個大寫字母(A-Z)
· 8 至少包含一個數字(0-9)
· 16 至少包含一個標點符號(英文輸入法狀態下����,除“和空格外的所有符號)>
或在【用戶】列中�����,依次右鍵點擊所有用戶���,點擊【修改】���,點擊【資源限制】��,可以看到口令策略與口令有效期�����。
測評項:
b)應具有登錄失敗處理功能�,應配置并啟用結束會話����、限制非法登錄次數和當登錄連接超時自動退出等相關措施����;
測評方法:
1)在【用戶】列中�����,依次右鍵點擊所有用戶��,點擊【修改】�,點擊【資源限制】���,可以看到登錄失敗處理功能是否開啟�,查看登錄失敗次數及口令鎖定期��;
測評項:
c) 當進行遠程管理時�,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽���;
測評方法:
1)通過【數據庫查詢窗口】執行“SELECT * FROM V$PARAMETER WHERE NAME='ENABLE_ENCRYPT' OR NAME='COMM_ENCRYPT_NAME';”命令查看是否使用SSL加密通信����。
<ENABLE_ENCRYPT為1則采用SSL加密�,COMM_ENCRYPT_NAME為空則不進行加密����;
數據庫服務器所在目錄下的server_ssl子目錄中存放CA的證書�、服務器的證書和服務器的密鑰�����,同時在客戶端所在目錄下的client_ssl子目錄中存放CA的證書�����、客戶端的證書和客戶端的密鑰���,這樣服務器和客戶端的通信即是建立在加密的SSL連接之上的����。>
測評項:
d) 應采用口令�����、密碼技術���、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別���,且其中一種鑒別技術至少應使用密碼技術來實現��。
測評方法:
1)詢問并查看數據庫管理員在登錄數據庫的過程中使用了哪些身份鑒別方法�,是否采用了兩種或兩種以上組合的鑒別技術�,如口令����、數字證書Ukey�、令牌���、指紋等�����,是否有一種鑒別方法在鑒別過程中使用了密碼技術��。
