商务网站建设论文答辩ppt建设学校网站的意义

当前位置： 首页 > news >正文

商务网站建设论文答辩ppt,建设学校网站的意义,asp网站转html,行业 网站 方案1 概述1.1 适用范围 本规范明确了Oracle数据库安全配置方面的基本要求。 1.2 符号和缩略语
缩写 英文描述 中文描述 DBA Database Administrator 数据库管理员 VPD Virtual Private Database 虚拟专用数据库 OLS Oracle Label Security Oracle标签…1         概述1.1       适用范围 本规范明确了Oracle数据库安全配置方面的基本要求。 1.2      符号和缩略语      缩写 英文描述 中文描述 DBA Database  Administrator 数据库管理员 VPD Virtual Private Database 虚拟专用数据库 OLS Oracle Label Security Oracle标签安全 2         ORACLE安全配置要求 本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求在未特别说明的情况下均适用于ORACLE数据库。 本规范从ORACLE数据库的认证授权功能、安全日志功能和其他自身安全配置功能提出安全要求。 2.1       账号 ORACLE应提供账号管理及认证授权功能并应满足以下各项要求。 2.1.1       按用户分配帐号 要求内容    应按照用户分配账号避免不同用户间共享账号。    操作指南    1、  参考配置操作    create user abc1 identified by password1;    create user abc2 identified by password2;    建立role并给role授权把role赋给不同的用户    2、  补充操作说明    1、abc1和abc2是两个不同的账号名称可根据不同用户取不同的名称    检测方法    3、  判定条件    不同名称的用户可以连接数据库    4、  检测操作    connect abc1/password1连接数据库成功    5、补充说明
2.1.2       删除或锁定无关帐号 要求内容    应删除或锁定与数据库运行、维护等工作无关的账号。    操作指南    1、  参考配置操作    alter user username lock;    drop user username cascade;    2、   补充操作说明    检测方法    3、  判定条件    首先锁定不需要的用户    在经过一段时间后确认该用户对业务确无影响的情况下可以删除    4、检测操作    5、补充说明
2.1.3       限制SYSDBA用户的远程登录 要求内容    限制具备数据库超级管理员SYSDBA权限的用户远程登录。    操作指南    1、参考配置操作    1. 在spfile中设置REMOTE_LOGIN_PASSWORDFILENONE来禁止SYSDBA用户从远程登陆。    2. 在sqlnet.ora中设置SQLNET.AUTHENTICATION_SERVICESNONE来禁用 SYSDBA 角色的自动登录。    2、补充操作说明    检测方法    3、判定条件    1. 不能通过Sql*Net远程以SYSDBA用户连接到数据库。    2. 在数据库主机上以sqlplus  ‘/as sysdba’连接到数据库需要输入口令。    4、检测操作    1. 以Oracle用户登陆到系统中。    2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。    3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。    Show parameter REMOTE_LOGIN_PASSWORDFILE    4. 检查在\(ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE。    5、补充说明 2.1.4       用户权限最小化 要求内容    在数据库权限配置能力内根据用户的业务需要配置其所需的最小权限。    操作指南    1、 参考配置操作    grant　权限　to  username;    revoke 权限　from  username;    2、 补充操作说明    用第一条命令给用户赋相应的最小权限    用第二条命令收回用户多余的权限    检测方法    3、 判定条件    业务测试正常    4、 检测操作    业务测试正常    5、补充说明 2.1.5       使用ROLE管理对象的权限 要求内容    使用数据库角色ROLE来管理对象的权限。    操作指南    1、参考配置操作    1. 使用Create Role命令创建角色。    2. 使用用Grant命令将相应的系统、对象或Role的权限赋予应用用户。    2、补充操作说明    检测方法    3、判定条件    对应用用户不要赋予DBA Role或不必要的权限。    4、检测操作    1. 以DBA用户登陆到sqlplus中。    2. 通过查询dba_role_privs、dba_sys_privs和dba_tab_privs等视图来检查是否使用ROLE来管理对象权限。    5、补充说明 2.1.6       控制用户属性 要求内容    对用户的属性进行控制包括密码策略、资源限制等。    操作指南    1、参考配置操作    可通过下面类似命令来创建profile并把它赋予一个用户    CREATE PROFILE app_user2 LIMIT         FAILED_LOGIN_ATTEMPTS 6       PASSWORD_LIFE_TIME 60       PASSWORD_REUSE_TIME 60       PASSWORD_REUSE_MAX 5       PASSWORD_VERIFY_FUNCTION  verify_function       PASSWORD_LOCK_TIME 1/24       PASSWORD_GRACE_TIME 90;    ALTER USER jd PROFILE app_user2;    2、补充操作说明    检测方法    3、判定条件    1. 可通过设置profile来限制数据库账户口令的复杂程度口令生存周期和账户的锁定方式等。    2. 可通过设置profile来限制数据库账户的CPU资源占用。    4、检测操作    1. 以DBA用户登陆到sqlplus中。    2. 查询视图dba_profiles和dba_usres来检查profile是否创建。    5、补充说明 2.1.7       启用数据库字典保护 要求内容    启用数据字典保护只有SYSDBA用户才能访问数据字典基础表。    操作指南    1、参考配置操作    通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。    O7_DICTIONARY_ACCESSIBILITY FALSE    2、补充操作说明    检测方法    3、判定条件    以普通dba用户登陆到数据库不能查看X\)开头的表比如    select * from  sys. x\(ksppi;    4、检测操作    1. 以Oracle用户登陆到系统中。    2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。    3. 使用show parameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE。    Show parameter O7_DICTIONARY_ACCESSIBILITY    5、补充说明 2.2      口令2.2.1       静态口令认证的密码复杂度控制 要求内容    对于采用静态口令进行认证的数据库口令长度至少6位并包括数字、小写字母、大写字母和特殊符号4类中至少2类。    操作指南    1、  参考配置操作    为用户建profile调整PASSWORD_VERIFY_FUNCTION指定密码复杂度    2、   补充操作说明    检测方法    3、  判定条件    修改密码为不符合要求的密码将失败    4、  检测操作    alter user abcd1 identified by abcd1;将失败    5、补充说明 2.2.2       静态口令认证的密码生命周期 要求内容    对于采用静态口令认证技术的数据库账户口令的生存期不长于90天。    操作指南    1、  参考配置操作    为用户建相关profile指定PASSWORD_GRACE_TIME为90天    2、  补充操作说明    在90天内需要修改密码    检测方法    3、  判定条件    到期不修改密码密码将会失效。连接数据库将不会成功    4、  检测操作    connect username/password报错    5、补充说明 2.2.3       静态口令认证的密码重复使用限制 要求内容    对于采用静态口令认证技术的数据库应配置数据库使用户不能重复使用最近5次含5次内已使用的口令。    操作指南    1、  参考配置操作    为用户建profile,指定PASSWORD_REUSE_MAX为    2、  补充操作说明    当前使用的密码必需在密码修改次后才能再次被使用    检测方法    3、  判定条件    重用修改次内的密码将不能成功    4、  检测操作    alter user username identified by password1;如果password1在次修改密码内被使用该操作将不能成功    5、补充说明 2.2.4       景泰口令认证的连续登录失败的帐号锁定策略 要求内容    对于采用静态口令认证技术的数据库应配置当用户连续认证失败次数超过6次不含6次锁定该用户使用的账号。    操作指南    1、  参考配置操作    为用户建profile指定FAILED_LOGIN_ATTEMPTS为    2、  补充操作说明    如果连续次连接该用户不成功用户将被锁定    检测方法    3、  判定条件    连续次用错误的密码连接用户第次时用户将被锁定    4、  检测操作    connect username/password连续次失败用户被锁定    5、补充说明 2.2.5       更改数据库默认帐号的密码 要求内容    更改数据库默认帐号的密码。    操作指南    1、参考配置操作    1. 可通过下面命令来更改默认用户的密码    ALTER USER XXX IDENTIFIED  BY XXX;    2. 下面是默认用户列表    ANONYMOUS    CTXSYS    DBSNMP    DIP    DMSYS    EXFSYS    HR    LBACSYS    MDDATA    MDSYS    MGMT_VIEW    ODM    ODM_MTR    OE    OLAPSYS    ORDPLUGINS    ORDSYS    OUTLN    PM    QS    QS_ADM    QS_CB    QS_CBADM    QS_CS    QS_ES    QS_OS    QS_WS    RMAN    SCOTT    SH    SI_INFORMTN_SCHEMA    SYS    SYSMAN    SYSTEM    TSMSYS    WK_TEST    WKPROXY    WKSYS    WMSYS    XDB    2、补充操作说明    检测方法    3、判定条件    不能以用户名作为密码或使用默认密码的账户登陆到数据库。    4、检测操作    1. 以DBA用户登陆到sqlplus中。    2. 检查数据库默认账户是否使用了用户名作为密码或默认密码。    5、补充说明 2.2.6       操作系统级的帐户安全策略 要求内容    Oracle软件账户的访问控制可遵循操作系统账户的安全策略比如不要共享账户、强制定期修改密码、密码需要有一定的复杂度等。    操作指南    1、参考配置操作    使用操作系统一级的账户安全管理来保护Oracle软件账户。    2、补充操作说明    检测方法    3、判定条件    每3个月自动提示更改密码过期后不能登陆。    4、检测操作    每3个月强制修改Oracle软件账户密码并且密码需要满足一定的复杂程度符合操作系统的密码要求。    5、补充说明 2.3      日志2.3.1       登录日志功能 要求内容    数据库应配置日志功能对用户登录进行记录记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。    操作指南    1、 参考配置操作    创建ORACLE登录触发器记录相关信息但对IP地址的记录会有困难    检测方法    2、 判定条件    登录测试检查相关信息是否被记录    3、检测操作    4、 补充说明    触发器与AUDIT会有相应资源开消请检查系统资源是否充足。特别是RAC环境资源消耗较大。 2.3.2       DDL日志 要求内容    数据库应配置日志功能记录用户对数据库的操作包括但不限于以下内容账号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号操作时间操作内容以及操作结果。    操作指南    1、 参考配置操作    创建ORACLE DDL触发器记录相关信息但对IP地址的记录会有困难    2、补充操作说明    检测方法    2、 判定条件    做相关操作检查是否记录成功    4、检测操作    5、 补充说明    触发器与AUDIT会有相应资源开消请检查系统资源是否充足。特别是RAC环境资源消耗较大。 2.3.3       数据库审记 要求内容    根据业务要求制定数据库审计策略。    操作指南    1、参考配置操作    1. 通过设置参数audit_trail db或os来打开数据库审计。    2. 然后可使用Audit命令对相应的对象进行审计设置。    2、补充操作说明    检测方法    3、判定条件    对审计的对象进行一次数据库操作检查操作是否被记录。    4、检测操作    1. 检查初始化参数audit_trail是否设置。    2. 检查dba_audit_trail视图中或\)ORACLE_BASE/admin/adump目录下是否有数据。    5、 补充说明    AUDIT会有相应资源开消请检查系统资源是否充足。特别是RAC环境资源消耗较大。
2.4      其他 2.4.1       VPD与OLS 要求内容    使用Oracle提供的虚拟私有数据库VPD和标签安全OLS来保护不同用户之间的数据交叉访问。    操作指南    1、参考配置操作    1. 在表上构建 VPD可以使用Oracle所提供的 PL/SQL 包 DBMS_RLS 控制整个 VPD 基础架构具体设置方法较复杂建议参考Oracle文档进行配置。    2. Oracle标签安全(OLS)是在相关表上通过添加一个标签列来实现复杂的数据安全控制具体细节请参考Oracle文档。    2、补充操作说明    检测方法    3、判定条件    通过视图来检查是否在数据库对象上设置了VPD和OLS。    4、检测操作    查询视图v\(vpd_policy 和dba_policies。    5、补充说明 2.4.2       Data Vault 要求内容    使用Oracle提供的Data  Vault选件来限制有DBA权限的用户访问敏感数据。    操作指南    1、参考配置操作    Oracle Data Vault是作为数据库安全解决方案的一个单独选件主要功能是将数据库管理账户的权限和应用数据访问的权限分开 Data Vault可限制有DBA权限的用户访问敏感数据。设置比较复杂具体细节请参考Oracle文档。    2、补充操作说明    检测方法    3、判定条件    以DBA用户登陆不能查询其它用户下面的数据。    4、检测操作    1. 在视图dba_users中查询是否存在dvsys用户。    2. 在视图dba_objects中检查是否存在dbms_macadm对象。    5、补充说明 2.4.3       Listener设定密码保护 要求内容    为数据库监听器LISTENER的关闭和启动设置密码。    操作指南    1、参考配置操作    通过下面命令设置密码    \) lsnrctl    LSNRCTL change_password    Old password: OldPassword Not displayed    New password: NewPassword Not displayed    Reenter new password: NewPassword Not displayed    Connecting to  (DESCRIPTION(ADDRESS(PROTOCOLTCP)(HOSTprolin1)(PORT1521)(IPFIRST)))    Password changed for LISTENER    The command completed successfully    LSNRCTL save_config    2、补充操作说明    检测方法    3、判定条件    使用lsnrctl  start或lsnrctl stop命令起停listener需要密码    4、检测操作    检查\(ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDS_LISTENER。    5、补充说明 2.4.4       设定信任IP集 要求内容    设置只有信任的IP地址才能通过监听器访问数据库。    操作指南    1、参考配置操作    只需在服务器上的文件\)ORACLE_HOME/network/admin/sqlnet.ora中设置以下行    tcp.validnode_checking yes    tcp.invited_nodes (ip1,ip2…)    2、补充操作说明    检测方法    3、判定条件    在非信任的客户端以数据库账户登陆被提示拒绝。    4、检测操作    检查\(ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置参数tcp.validnode_checking和tcp.invited_nodes。    5、补充说明 2.4.5       加密网络传输 要求内容    使用Oracle提供的高级安全选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据。    操作指南    1、参考配置操作    1. 在Oracle Net Manager中选择“Oracle Advanced Security”。    2. 然后选择Encryption。    3. 选择Client或Server选项。    4. 选择加密类型。    5. 输入加密种子可选。    6. 选择加密算法可选。    7. 保存网络配置sqlnet.ora被更新。    2、补充操作说明    检测方法    3、判定条件    通过网络层捕获的数据库传输包为加密包。    4、检测操作    检查\)ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置sqlnet.encryption等参数。    5、补充说明
2.4.6       断开超时的空闲远程连接 要求内容    在某些应用环境下可设置数据库连接超时比如数据库将自动断开超过10分钟的空闲远程连接。    操作指南    1、参考配置操作    在sqlnet.ora中设置下面参数    SQLNET.EXPIRE_TIME10    2、补充操作说明    检测方法    3、判定条件    10分钟以上的无任何操作的空闲数据库连接被自动断开    4、检测操作    检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置参数SQLNET.EXPIRE_TIME。    5、补充说明
2.4.7       限制DBA组中的操作系统用户数量 要求内容    限制在DBA组中的操作系统用户数量通常DBA组中只有Oracle安装用户。    操作指南    1、参考配置操作    通过/etc/passwd文件来检查是否有其它用户在DBA组中。    2、补充操作说明    检测方法    3、判定条件    无其它用户属于DBA组。    4、检测操作    通过/etc/passwd文件来检查是否有其它用户在DBA组中。    5、补充说明