下载文档原格式
等保测评流程介绍:
等保测评流程主要包括以下几个步骤:
1.系统定级:对业务、资产、安全技术和安全管理进行调研,确定定级系统,准备定级报告,提供
协助定级服务,辅助用户完成定级报告,组织专家评审。
2.系统备案:持定级报告和备案表到所在地公安网监进行系统备案。
3.建设整改:参照定级要求和标准,对信息系统整改加固,建设安全管理体系。
4.等级测评:测评机构对信息系统进行等级测评,形成测评报告。
这一步骤包括确定测评目标、信
息收集、风险评估、安全测试、安全评估等具体工作。
5.合规监督检查:向所在地公安网监提交测评报告,公安机关监督检查进行等级保护工作。
信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年月日测评单位名称报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作内容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
公安部信息安全等级保护评估中心四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章内容的提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含但不限于以下内容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统内相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称年月报告目录1测评项目概述 (1)1。
1测评目的 (1)1。
2测评依据 (1)1。
3测评过程 (1)1。
4报告分发范围 (2)2被测系统情况 (3)2。
一、等级保护测评方案(一)测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求,信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标,并根据《测评要求》的要求,对信息系统实施安全现状测评。
因此,本次测评将根据信息系统的等级选取相应级别的测评指标。
1.测评指标三级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类(G3),3级业务信息安全性指标类(S3)和3级业务服务保证类(A3)。
所包括的安全控制指标类型情况具体如下表:系统测评指标统计列表二级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2)和2级业务服务保证类(A2)。
所包括的安全控制指标类型情况具体如下表特殊指标无。
(二)测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾了工作投入与结果产出两者的平衡关系。
2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表(三)测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。
1.访谈访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。
等保测评安全评估
等保测评是指对信息系统进行安全评估的一种方法。
等保测评主要针对信息系统的安全性进行评估,包括系统的机密性、完整性和可用性等方面。
通过等保测评可以发现系统中的安全漏洞和风险,为系统的安全防护提供指导和改进建议。
等保测评主要包括以下步骤:
1. 建立评估目标和范围:确定评估的目标、范围和标准,明确需要评估的安全要求和关注的重点。
2. 收集信息资料:收集与系统安全相关的信息资料,包括系统架构、网络拓扑、安全策略和控制措施等。
3. 风险分析和安全测试:通过分析系统中的风险,进行安全测试和漏洞扫描,发现潜在的安全威胁和漏洞。
4. 安全评估报告:综合评估结果,编写安全评估报告,包括系统的安全风险分析、漏洞报告和改进建议等。
5. 安全改进措施:根据评估报告的建议,制定并实施相应的安全改进措施,提升系统的安全性。
通过等保测评,可以有效评估和提升信息系统的安全性,并帮助组织制定相应的安全策略和措施,保障信息资产的安全和可靠性。
等级保护测评工作方案一、项目背景随着信息化时代的到来,网络安全问题日益突出,我国政府高度重视网络安全工作,明确规定了对重要信息系统实施等级保护制度。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
二、测评目的1.评估系统当前安全状况,发现潜在安全隐患。
2.确定系统安全等级,为后续安全防护措施提供依据。
3.提高系统管理员和用户的安全意识。
三、测评范围本次测评范围包括某重要信息系统的硬件、软件、网络、数据、管理制度等方面。
四、测评方法1.文档审查:收集系统相关文档,包括设计方案、安全策略、操作手册等,审查其是否符合等级保护要求。
2.现场检查:对系统硬件、软件、网络等实体进行检查,验证其安全性能。
3.问卷调查:针对系统管理员和用户,了解他们对系统安全的认知和操作习惯。
4.实验室测试:利用专业工具对系统进行渗透测试,发现安全漏洞。
五、测评流程1.测评准备:成立测评小组,明确测评任务、人员分工、时间安排等。
2.文档审查:收集并审查系统相关文档。
3.现场检查:对系统实体进行检查。
4.问卷调查:开展问卷调查,收集系统管理员和用户意见。
5.实验室测试:进行渗透测试,发现安全漏洞。
6.数据分析:整理测评数据,分析系统安全状况。
六、测评结果处理1.对测评中发现的安全隐患,制定整改措施,督促系统管理员和用户整改。
2.对测评结果进行通报,提高系统安全防护意识。
3.根据测评结果,调整系统安全策略,提高系统安全等级。
七、测评保障1.人员保障:确保测评小组具备专业能力,保障测评工作的顺利进行。
2.设备保障:提供必要的硬件、软件设备,支持测评工作。
3.时间保障:合理规划测评时间,确保测评工作按时完成。
八、测评风险1.测评过程中可能对系统正常运行产生影响,需提前做好风险评估和应对措施。
2.测评结果可能存在局限性,需结合实际情况进行分析。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
三级等保测评服务内容
三级等保测评是指对信息系统的安全性进行评估和测试,以确定其是否符合国
家三级等级保护标准的要求。
在进行三级等保测评时,需要按照以下内容进行服务:
1.系统资产确认与分类:通过对信息系统中的各种资产进行确认和分类,包括
软件、硬件、网络设备、数据库等,以便全面评估其安全性。
2.安全策略与规划评估:对信息系统的安全策略和规划进行评估,包括密码策略、网络安全策略、应急响应计划等,以确保其与国家三级等保标准相符。
3.权限与访问控制评估:评估系统中的权限管理和访问控制机制,包括用户权
限分配、身份认证、访问控制列表等,以确保系统只被授权人员访问。
4.安全运维管理评估:对系统的安全运维管理进行评估,包括安全事件管理、
日志审计、漏洞管理等,以确保对系统进行有效的监控和管理。
5.物理环境评估:评估物理环境中的安全措施,包括设备布置、防火墙设置、
电力和环境监控等,以确保系统能在安全的物理环境下运行。
6.网络安全评估:评估系统的网络安全性,包括网络拓扑结构、入侵检测与防御、防火墙设置等,以确保系统在网络层面上的安全性。
7.安全培训与意识评估:评估系统用户的安全培训和安全意识程度,并提供相
应的培训和改进建议,以提高系统用户的安全防范意识。
以上是三级等保测评的主要服务内容,通过对系统的各个方面进行评估,可以
帮助企业或组织发现潜在的安全风险,并采取相应的措施进行改进和强化,以确保系统的安全性达到国家三级等级保护标准的要求。
等保测评方案范文等保测评方案是指根据国家等级保护基本要求和相关法规要求进行的网络安全测评工作方案。
通过对网络系统进行全面评估和测试,发现潜在的安全风险和漏洞,并提出相应的风险防范和改进措施,以确保网络系统的安全性和合规性。
一、等保测评方案的目标1.发现系统中的安全风险和漏洞,如信息泄露、权限不当、漏洞利用等;2.检查系统是否符合国家等级保护的基本要求和相关法规要求;3.评估系统的安全性和可靠性,发现可能导致系统崩溃或瘫痪的风险;4.提出相应的改进措施和建议,以提高系统的安全性和合规性。
二、等保测评方案的步骤1.准备阶段:确定测评的目标和范围,收集相关的系统和安全信息,建立评估团队和工作计划;2.信息搜集:通过对系统进行主动和被动的信息搜集,获取系统的架构、配置和运行状态等信息;3.风险评估:通过对搜集到的信息进行分析和评估,发现系统中的安全风险和漏洞;4.漏洞利用:利用发现的安全漏洞进行渗透攻击,验证漏洞的影响和利用难度;5.合规评估:检查系统是否符合国家等级保护的基本要求和相关法规要求;6.报告编写:将测评结果整理成报告,包括发现的安全风险和漏洞、系统的安全性和合规性评估结果,以及改进措施和建议;7.报告发布:将报告提交给系统管理者和相关部门,提供参考和改进依据;8.跟进改进:对报告中提出的改进措施和建议进行跟进和实施,提高系统的安全性和合规性。
三、等保测评方案的关键技术和方法1.漏洞扫描:通过使用自动化的工具对系统进行漏洞扫描,发现系统中存在的安全漏洞;2.渗透测试:通过模拟黑客攻击的方式,测试系统的安全性和可靠性,发现潜在的风险和漏洞;4.日志分析:对系统的日志进行分析,发现异常行为和潜在的安全风险;5.审计和监控:建立系统的审计和监控机制,及时发现和响应安全事件。
四、等保测评方案的注意事项1.尊重隐私权:在进行测评工作时,需尊重用户的隐私权,遵守相关法规和道德规范;2.安全合规:在测评过程中,需确保系统的安全性和合规性,不得给系统造成破坏或非法操作;3.风险评估:在报告中需要准确评估系统中的风险等级和影响程度,以便制定相应的改进措施;4.建议和改进:报告中的建议和改进措施应具体可行,能够帮助系统管理者提高系统的安全性和合规性;5.结果验证:对于报告中提出的漏洞和风险,需要对改进措施和建议进行验证,以确保安全问题得到解决。
等保三级测评是指信息系统安全等级保护的评估,是中国国家标准《 信息安全技术等级保护管理办法》规定的一种制度。
以下是软件等保三级测评的一般要求:
1.《安全技术体系:
系统应具备完善的安全技术体系,包括访问控制、身份认证、加密技术等,以保障系统的安全性。
安全技术体系要能够满足等保三级的严格标准,包括对系统整体的保护、对用户身份的精准认证、对敏感数据的有效加密等。
2.《网络安全:
对系统进行全面的网络安全评估,包括对网络拓扑结构、防火墙设置、入侵检测与防范等方面的检查和评估。
确保系统对于网络攻击和未授权访问具备足够的防范能力。
3.《漏洞管理:
对软件系统进行全面的漏洞扫描和评估,及时修复和更新系统中存在的漏洞,确保系统不易受到已知攻击手法的利用。
4.《数据加密:
对系统中的敏感数据进行加密存储和传输,采用先进的加密算法,以防止数据泄露和非法访问。
5.《身份认证和授权:
强化用户身份认证机制,确保用户的真实身份,并对用户的权限进行精细化控制,防止未授权访问。
6.《应急响应:
确立完善的应急响应机制,对安全事件进行及时的检测、响应和处理,以减小安全事件对系统的影响。
7.《安全培训和管理:
对系统管理人员和用户进行安全培训,提高其安全意识和应对安全事件的能力。
建立健全的安全管理制度,对系统进行定期的安全审查和评估。
8.《安全审计:
建立系统的安全审计机制,记录系统的关键操作和安全事件,便于事后的溯源和分析。
这些要求有助于确保软件系统在等保三级的测评中能够满足国家相关标准和要求,提高系统的安全性和稳定性。
在具体操作中,一般需要由专业的安全测评机构进行评估。
三级等保评测文件信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年 月 日报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作内容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章内容的提炼和简要描述。
报告基本信息信息系统基本情况系统名称 安全保护等级机房位置 中心机房灾备中心其他机房委托单位单位名称 单位地址 邮政编码联系人 姓名职务/职称 所属部门办公电话 移动电话电子邮件测评单位单位名称 通信地址 邮政编码联系人 姓名职务/职称 所属部办公电话门移动电话电子邮件报告 审核批准 编制人 日期 审核人 日期 批准人 日期声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含但不限于以下内容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统内相关产品的测评结论。
等保测评方案
等保测评方案是指对信息系统的安全性进行评估和测试,以确定其是否符合等级保护要求,并提出相应的改进建议。
下面是一个基本的等保测评方案。
一、背景和目标:说明等保测评的背景和目标,如要评估的信息系统、等保要求等。
二、评估方法:介绍采用的评估方法和流程,包括资产分类、威胁分析、漏洞扫描、渗透测试等。
三、资产分类:将要评估的信息系统中的资产进行分类,如服务器、网络设备、数据库等。
四、威胁分析:根据资产分类,分析可能面临的威胁,如网络攻击、数据泄露等。
五、漏洞扫描:使用漏洞扫描工具对信息系统进行扫描,发现存在的漏洞和安全风险。
六、渗透测试:通过模拟黑客攻击等手段,对信息系统进行渗透测试,验证系统的安全性。
七、等级评定:根据等保标准,对信息系统的安全性等级进行评定,如一般级、重要级等。
八、问题发现和改进建议:根据评估结果,列出问题清单和相
应的改进建议,如修复漏洞、加强访问控制等。
九、报告编写:根据评估结果和改进建议,编写等保测评报告,包括评估方法、问题清单、改进建议等。
十、报告提交和讲解:将等保测评报告提交给相关部门,并进行讲解,解释评估结果和改进建议。
以上是一个基本的等保测评方案,具体实施过程还需要根据具体情况进行调整和补充。
在实施等保测评时,需要注意保护评估结果的机密性,避免泄露信息系统的安全问题给潜在攻击者带来机会。
同时,还需要与相关部门密切合作,共同推动评估结果的改进和落实。
等级保护测评【数据库Oracle】三级详解测评要求项、测评方法及测评步骤身份鉴别a)应对数据库系统的用户进行身份标识和鉴别;测评方法及步骤:1)以默认口令或者常见口令尝试登录数据库,查看是否成功,查看是否需要口令以及是否存在空口令$ sqlplus/nologSQL>connuser/password as sysdba2)或者使用Oracle客户端管理控制台(Enterprise Manager Console)进行登录3)默认口令包括sys/change_on_install;system/manager,scott/tiger,常用口令包括oracle:admin/oracle;sys:admin:oracle等。
(更改用户口令alter user user_name identified by password),或者用select * from dba_users;查看账号口令;b)数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;测评方法及步骤:1)select username,profile fromdba_user;了解用户使用的profile2)select * from dba_profiles whereprofile='default';查看系统本身的profile的配置参数都有哪些?PASSWORD_VERIFY_FUNCTIONverify_function为密码复杂度验证函数已经开启。
这个oracle默认verify_function()函数,要求口令密码最小长度4、不能和用户名相同、至少有一个字母、数字和特殊字母,旧密码和新密码至少有三位不同。
如果你觉得这个要求还太低,那你就创建自己复杂的验证函数3)检查utlpwdmg.sql中"-- Check for the minimum length of the password"部分中"length (password)<"后的值;c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;测评方法及步骤:1)select limitfrom dba_profiles where resource_name='FAILED_LOGIN_ATTEMPTSFAILED_LOGIN_ATTEMPTS:最大错误登录次数PASSWORD_GRACE_TIME:口令失效后锁定时间PASSWORD_LIFE_TIME:口令有效时间PASSWORD_LOCK_TIME:登录超过有效次数锁定时间查看有无对各项进行时间/次数上的设置和限制;d)当对服务器进行远程管理时,应采取必要措施,防治鉴别信息在网络传输过程中被窃听;测评方法及步骤:1)询问管理员是否采取加密手段保证数据库的访问信息不被窃听2)在9i中查看数据库安装目录下的\admin\DB_NAME\pfile\initSID.ora中REMOTE_OS_AUTHENT的赋值,确认是否允许管理员对数据库进行远程连接和管理,其他版本用命令“SHOW PARAMETERS AUTH;”记录是否允许远程访问3)或者图形界面管理中查看打开Oracle客户端管理控制台(Enterprise Manager Console);添加被评估数据库的连接信息,使用sys或system用户登录数据库;在左侧菜单栏中打开“例程”,选中“配置”栏,再选择“一般信息”页面,点击“所有初始化参数”;在弹出的界面中,查看“remote_os_authent”参数行的设置,为是否允许远程连接,如实记录该原始数据或拷屏4)查看lsnrctl status查看是否存在TCPS协议;e)应为数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;测评方法及步骤:1)询问管理员,是否为不同的用户分配了不同的账户。
可检索账户“selectusername,account_status from dba_users”,并询问是否建立制度,确保不同人员使用不同用户登录数据库系统;f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别;测评方法及步骤:1)询问管理员数据库是否采用了2种以上身份鉴别方式进行身份认证,如是否部署CA认证等第三方认证产品进行认证;2)查看配置文件db_1\NETWORK\ADMIN目录下或$TNS_ADMIN/sqlnet.ora的sqlnet.ora,查看SQLNET_AUTHENTICATION_SERVICES的值,确认数据库管理员指定的鉴别方式是否与管理员回答的一致,值为NTS时,则为使用windows系统认证,当为none时,则需要双重身份认证。
但是不为双因子认证;此条中判断以第一条为准,第二条仅做参考,不对结果造成影响;访问控制a)应启用访问控制功能,依据安全策略控制用户对资源的访问;测评方法及步骤:1)linux下在数据库的操作系统中打开$ORACLE_HOME\bin目录,并找到可执行程序Oracle;在操作系统中运行命令:ls –al oracle;查看其运行、读写权限;2)访谈管理员是否有其他方式(如防火墙、ACL、IPsec等方式)进行端口/IP级的访问限制,或者其他方式对数据库访问的控制,并进行验证;判定依据主要参考第三条,第一二条为辅助依据;b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;测评方法及步骤:1)查看应用账户是否属于DBA组权限2)select grantee from dba_role_privs where grante_role='DBA' and grante not in('SYS','SYSTEM','CTXSYS','WmSYS','SYSMAN');c)应实现操作系统和数据库系统特权用户的权限分离;测评方法及步骤:询问管理员是否由不同员工分别担任操作系统管理员与数据库管理员登录操作系统,查看是否能对数据库系统进行操作;d)应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;测评方法及步骤:询问管理员:应尽量重命名数据库系统的默认账户,如果部分账户无法重命名,则应加强这些账户的口令强度,确保这些账户不被授权使用;e)应及时删除多余的、过期的帐户,避免共享帐户的存在;测评方法及步骤:1、在sqlplus中执行命令desc dba_usersselectusername,account_status from dba_users where account_status='OPEN'2、查看返回结果中是否存在scott、outln、ordsys等范例数据库账号,在windows中或者用图形用户界面找到安全性查看用户状态检查是否有过期、共享帐户存在;f)应对重要信息资源设置敏感标记;测评方法及步骤:1)检查是否安装oracle label security模块(如无,下面步骤可省略)select username from dba_users;查看有无lbacsys的用户,如无,则无安装Oracle Label Security模块2)查看是否创建策略:select policy_name,statusfrom DBA_SA_POLICIES3)查看标签创建情况:select * fromdba_sa_lables;g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;测评方法及步骤:登录sqlplus,查看用户的标签select * fromdba_sa_lablesselect * fromdba_sa_tables_policies;可让管理员演示选择特定的用户和表进行验证敏感标记功能是否正确;安全审计a)审计范围应覆盖到服务器和重要客户端上的每个数据库用户;测评方法及步骤:检查并记录数据库操作审计的配置策略show parametersaudit;查看数据库审计的目录及审计是否开启,审计级别1.windows中打开Oracle客户端管理控制台(Enterprise Manager Console)2.添加被评估数据库的连接信息,使用sys或system用户登录数据库3.在左侧菜单栏中打开“例程”,选中“配置”栏,再选择“一般信息”页面,点击“所有初始化参数”4.在弹出的界面中,查看“audit_trail”参数行的设置,如实记录该原始数据或拷屏。
如果为linux系统执行show parameters audit_trail;查看是否开启审计功能5.进行管理员和一般用户登录登出,查看审计日志是否能正确记录6.以上条件不满足时,询问管理员是否有第三方数据库审计软件;b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;测评方法及步骤:查看AUDIT_TRAIL的值为NONE为关闭审计功能,audit_sys_operations为YES审计系统重要操作;c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;测评方法及步骤:select * fromsys.aud$,select * fromdba_audit_trail,记录审计记录中事件的日期、时间、类型、主体标识、客体标识和结果等记录情况;d)应能根据记录数据进行分析,并生产审计报表;测评方法及步骤:询问管理员是否安装并使用了oracle audit vault等日志分析工具并查看相关报表,或者是否采用了第三方数据库审计软件以及具有报表功能并定期生成报表;e)应保护审计进程,避免受到未预期的中断;测评方法及步骤:询问是否严格限制数据库管理员权限,系统管理员能否进行与审计相关的操作。
用户可以通过alter system set audit_trail='NONE' scope=spfile;,查看是否成功;f)应保护审计记录,避免受到未预期的删除、修改或覆盖等;测评方法及步骤:询问数据库管理员,是否严格限制用户访问审计记录的权限,如采用audit vault等,或者第三方审计系统,并检查是否定期对审计日志做备份;资源控制a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;测评方法及步骤:方法一:人工审计1.以文本文件的方式,打开操作系统中的数据库服务配置文件“SQLNET.ORA”(数据库目录下的NETWORK\ADMIN\)查看是否存在如下内容tcp.validnode_checking=YEStcp.excluded_nodes={list of IP address}tcp.invited_nodes={list of IP address},如存在则对IP地址进行了限制3.如实记录该原始数据或拷屏4.如果没有在数据库系统上进行配置,询问是否在防火墙或者其他网络设备/安全设备上进行了相关的配置;方法一:人工审计1.以文本文件的方式,打开操作系统中的数据库服务配置文件“listener.ora”;2.查看“ADMIN_RESTRICTIONS_listener_name=”的设置(此项设置为防止对oracle listener的未经授权的管理,需要),如实记录该原始数据或拷屏,如为ON则符合,不存在则不符合;b)应根据安全策略设置登录终端的操作超时锁定;测评方法及步骤:查看空闲超时设置,selectlimit from dba_profiles where resource_name='IDLE_TIME'.查看超时设置,并记录或查看系统概要文件;c)应限制单个用户对系统资源的最大或最小使用限度;测评方法及步骤:执行命令,查看用户使用的profile,select username,profile fromdba_users,查看其限制,set lines 300查看默认用户的并行会话数和CPU使用时间select limitfrom dba_profiles where profile='DEFAULT';,或CPU_PER_SESSION,IDLE_TIME,'SESSIONS_PER_USER'等各设置下面是全部可用的参数:SESSIONS_PER_USER 每个用户名所允许的并行会话数CPU_PER_SESSION 一个会话一共可以使用的CPU时间,单位是百分之一秒CPU_PER_CALL 一次SQL调用(解析、执行和获取)允许使用的CPU时间CONNECT_TIME 限制会话连接时间,单位是分钟IDLE_TIME 允许空闲会话的时间,单位是分钟LOGICAL_READS_PER_SESSION 限制会话对数据块的读取,单位是块LOGICAL_READS_PER_CALL 限制SQL调用对数据块的读取,单位是块COMPOSITE_LIMIT “组合打法”PRIVATE_SGA 限制会话在SGA中Shared Pool中私有空间的分配;。
