一、前言

信息系统只要运行，就会产生数据，产生数据就需要存储，数据库就是所有信息系统所必需的，数据是信息系统最重要的东西，所以数据库的安全就是保障数据安全的重要屏障，现在市面上有许多数据库产品，其中使用比较广泛的就是Oracle数据库，今天我们就来讲一讲等保测评2.0中对Oracle数据库有哪些安全要求。

二、测评项

写到现在，其实等保2.0对于数据库的要求都是一样的，不同的是每个数据库都会有自己的实现方式，下面我们按照惯例列出等保2.0对于Oracle数据库在访问控制方面的要求。

a)应对登录的用户分配账户和权限；

b)应重命名或删除默认账户，修改默认账户的默认口令；

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；

d)应授予管理用户所需的最小权限，实现管理用户的权限分离；

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

三、测评项a

a)应对登录的用户分配账户和权限；

从字面意思看，对登陆的用户分配账户和权限，既然已经登陆了，自然就存在账户了，这里的意思是一开始就有几个待分配的账户，当有用户需要使用这些账户时，就分配给该用户，至于权限问题，就必须存在至少两个账户，且这两个账户的权限不一样，才有分配权限的必要性。

四、测评项b

b)应重命名或删除默认账户，修改默认账户的默认口令；

Oracle在安装成功后会自动生成三个默认账户，分别是sys用户、scott用户和system用户，其中sys用户是超级用户，具有最高权限，具有sysdba角色，有create database的权限，该用户默认的密码是change_on_install；system用户是管理操作员，权限也很大，具有sysoper角色，没有create database的权限，默认的密码是manager，一般来讲，对数据库维护，使用system用户登录就可以了；scott是普通用户，密码是tiger。

根据本项要求需要重命名或者删除这三个默认账户，如果有需要就重命名及修改默认口令，但是实际情况是sys用户和system用户对于数据库有管理作用，删除后会对数据库产生一些影响，一般只做修改，而sys用户名修改又比较麻烦，只修改口令就可以了。

五、测评项c

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；

删除或停用多余的、过期的账户，这无话可说，但是没有好的方法确认哪些是多余的、过期的账户，只有通过访谈的方式一个一个账户的询问，如果被访谈人回答不上来这些账户的用途，就可以判断这些账户是多余的账户，但是无法避免被访谈人随便回答的用途。我们可以使用语句：

select * from all_users;

查看所有账户，当然前提是以管理员身份登录的。

共享账户就是多人使用一个账户的情况，这个也只能通过访谈的方式检查，结果无法考证，所以是避免，在测评的过程中也存在一个人使用多个账户的情况，那么这就存在多余账户的可能，当然这也都无法查证。

六、测评项d

d)应授予管理用户所需的最小权限，实现管理用户的权限分离；

Oracle数据库中权限最大的是sys用户，如果只有一个sys管理用户肯定不符合要求，一般大家比较常见的权限划分方法就是三权分立，即系统管理员、安全管理员和审计管理员。

系统管理员

1、负责系统参数，如流程、表单的配置、维护和管理；

2、负责用户的注册、删除，保证用户标识符在系统生命周期的唯一性；

3、负责组织机构的变动调整，负责与用户权限相关的各 类角色的设置。

安全管理员

1、负责人员涉密等级和职务等信息调整和用户权限的分配；

2、负责保管所有除系统管理员以外的所有用户的ID标志符文件。安全保密管理员不能以其他用户身份登录系统；

3、不能查看和修改任何业务数据库中的信息；

4、负责用户审计日志以及安全审计员日志的查看，但不能增删改日志内容。

审计管理员

1、负责监督查看系统管理员、安全保密管理员和安全审计管理员的操作日志,但不能增删改日志内容；

2、负责定期备份、维护和导出日志。

我们可以通过语句：

select * from dba_sys_privs where grantee='sys' ORDER BY GRANTEE;

查询用户被赋予的系统权限，上班我们以sys用户为例，如下图所示：

七、测评项e

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

这一项说白了就是查看数据库有没有专门负责给其他用户分配权限的用户，用我们前边“三权分立”的方法，就是查看有没有安全管理员，这个我们只能通过访谈的方式确认该用户的存在，可以通过之前的语句查看该用户确实有授予其他用户权限的权限。

八、测评项f

f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

也就是说Oracle数据库可以给用户或者进程分配具体到可以访问哪个文件和哪张表的功能，其实Oracle数据库可以分配到更细，直接到表里的字段都可以，所以Oracle数据库是超标准默认符合该项要求，然而最大的问题是安全管理员并不在乎这个功能，最后导致形同虚设。

九、测评项g

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

这一项几乎不用看，基本没有符合要求的，但是Oracle确实提供了可以实现此项的插件：Oracle_Label_Security，但是由于安装此插件的硬件与软件要求，以及安装的费用、以后维护和实际使用价值都让绝大部分人望而却步，不过也不用太在意，因为这一个测评项不属于高风险项。

以上就是一项一项教你测等保2.0——Oracle访问控制的所有内容，希望对大家有所帮助，欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。