《實驗四等保體系建設(shè)》實驗指導書（模板）

1、實驗四等保體系建設(shè)(2)一、實驗目的1、理解路由器設(shè)備測評指標，并掌握路由器設(shè)備平安加固方法。2、理解Oracle數(shù)據(jù)庫測評指標，并掌握Oracle數(shù)據(jù)庫的加固方法。二、實驗環(huán)境路由器(Cisco 2811)模擬器、Oracle 12 R2、SQL PLUS SQL Developer三、實驗內(nèi)容及實驗步驟1、路由器設(shè)備平安加固刪除多余或無效的訪問控制規(guī)那么，優(yōu)化訪問控制列表，并保證訪問控制規(guī)那么 數(shù)量最小化核查設(shè)備是否不存在多余或無效的訪問控制策略和核查設(shè)備的不同訪問控 制策略之間的邏輯關(guān)系及前后排列順序是否合理。應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進 行平安審計，審計覆蓋到每個用戶，對重要的用戶行為

2、和重要平安事件進行審計查看交換機日志審計功能的開啟情況Console logging Monitor logging Buffer logging 的 level 設(shè)置為 informationalo假設(shè)設(shè)備未配置日志服務(wù)器，那么Trap logging可不啟用Routerttshow loggingSyslog logging: enabled (1 messages dropped, 2 messages rate-limited, 0flushes, 0 overruns, xml disabled, filtering disabled)Console logging: level i

3、nformational, 146 messages logged, xml disabled,filtering disabledMonitor logging: level debugging, 0 messages logged, xml disabled,filtering disabledBuffer logging: level informational, 30 messages logged, xml disabled,filtering disabledLogging Exception size (4096 bytes)Count and timestamp logging

4、 messages: enabled或者Routerttshow running-config logging userinfo 記錄用戶權(quán)限相關(guān)日志logging buffered 4096 informationallogging console informationallogging monitor informationalRouter(config)ttlogin on-failure logon-success通過訪談網(wǎng)絡(luò)管理員采用何種方法對用戶行為進行記錄，并在管理員的配合 下進行驗證 由于設(shè)備本身日志只可對用戶登錄/登出行為進行記錄，需要使用 ACS服務(wù)器等其它方式方可對用戶

5、的操作行為進行記錄；Ciscoworks . solarwinds等網(wǎng)管監(jiān)控軟件可對設(shè)備狀態(tài)進行監(jiān)控.Routerftshow running-configlogging userinfo 記錄用戶權(quán)限相關(guān)日志應(yīng)對審計記錄進行保護，定期備份，防止受到未預期的刪除、修改或覆蓋等訪談網(wǎng)絡(luò)設(shè)備管理員采用何種手段防止了審計日志的未授權(quán)修改、刪除及破壞. 例如可以設(shè)置專門的日志服務(wù)器Routerttshow loggingTrap logging: level informational, 150 message lines loggedLogging to 192.168.30.2 (udp port

6、 514, audit disabled, link up), 57 message lines logged, xml disabled,filtering disabled應(yīng)對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息 具有復雜度要求并定期更換設(shè)置AUX Console 口、VTY 口及特權(quán)模式口令。假設(shè)物理環(huán)境控制嚴格，在AUX 口、Console 口無外聯(lián)線路的情況下，可不設(shè)置口令。Router(config)#line vty 0 4Router (config-line) ftlogin local 開始本地認證2. Oracle數(shù)據(jù)庫平安加固啟動docker環(huán)

7、境docker run -d -p 8080:8080 -p 1521:1521 sath89/oracle-12c進入oracle鏡像交互式模式docker exec -it *container ID* /bin/bash使用 sqlplus 連接 oraclesqlplus sys/oracle as sysdba啟動oracle用戶建立密碼復雜度校驗函數(shù)的腳本/u01/app/orac1e-product/12. 1. 0/xe/rdbms/admin/utIpwdmg. sql應(yīng)對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具 有復雜度要求并定期更換設(shè)置密碼復雜度驗

8、證 Oracle 12自帶密碼復雜度驗證函數(shù) oral2c_verify_function 和 oral2c_strong_verify_function 參考 字段含義 ora 12c_verify_function長度至少為8且至少包含1個數(shù)字、1個字符，不 能和用戶名相同或相反，不能包含oracle,與之前設(shè)置的密碼至少有8個不同 字符，至少包含1個特殊字符oral2c_strong_verify_function至少包括2個大寫字符、2個小寫字符、2 個數(shù)字、2個特殊字符，和之前設(shè)置的密碼至少有4個不同字符oral2c_strong_verify_functionALTER PROFI

9、LE default LIMIT PASSWORD_VERIFY_FUNCTION oral2c_strong_verify_function;驗證CREATE USER c#test IDENTIFIED BY 123456SQL錯誤：ORA-28003:指定口令的口令驗證失敗0RA-20001: Password length less than 928003. 00000 - /zpassword verification for the specified password failed*Cause:The new password did not meet the necessary

10、 complexityspecifications and the pas sword ver i f y_f unction failedAction:Enter a different password. Contact the DBA to know therules forchoosing the new password應(yīng)具有登錄失敗處理功能，配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿?連接超時自動退出等相關(guān)措施默認做了賬戶鎖定，可以根據(jù)實際情況進行調(diào)整字段 含義默認值FAILED_LOGIN_ATTEMPTS嘗試登錄失敗次數(shù)10PASSWORD_LOCK_TIME 鎖定時間（天）

11、1應(yīng)重命名晟刪除默認賬戶，修改默認賬戶的默認口令重命名默認用戶，如SYS, SYSTEM, scott 2如果使用約定俗成的口令，需要進 行更換僅支持11版本，12版本移了 rename語法alter user scott rename to tiger;應(yīng)及時刪除或停用多余的、過期的賬戶，防止共享賬戶的存在應(yīng)進行角色劃分，并授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分最小權(quán)限原那么是指應(yīng)為該系統(tǒng)的每個用戶僅授予完成其預定任務(wù)或職能所 需的最小一組權(quán)限。授予用戶或角色權(quán)限時，最好授予所需的特定對象權(quán)限，而不是 授予允許訪問數(shù)據(jù)庫中所有對象的廣泛系統(tǒng)權(quán)限。同樣，創(chuàng)立角色時應(yīng)僅包含完成特定 職

12、能所需的少量權(quán)限，而不是創(chuàng)立像內(nèi)置的DBA角色這樣非常強大的角色。授予 用戶一些小權(quán)限角色可確保用戶與所需完成的任務(wù)相匹配，而不必授予過多不需要的權(quán) 限。職責別離的理念與最小權(quán)限原那么密切相關(guān)。具體來說,應(yīng)讓多個用戶承當不同權(quán)限， 而不是創(chuàng)立一個超級用戶。采用這種方式劃分管理權(quán)限可加強責任界定，而且還可避 免受信任的管理員濫用權(quán)限。為了支持最小權(quán)限和職責別離原那么，Oracle數(shù)據(jù)庫很早就引入了 SYSOPER 管理權(quán)限,允許管理員執(zhí)行啟動和停止金庫等特定任務(wù),而無需授予其SYSDBA的完全權(quán) 限。Oracle Database 12c 新增的管理權(quán)限包括 SYSBACKUP、SYSDG 和

13、SYSKM,分 別用于支持數(shù)據(jù)庫備份、Data Guard管理和密鑰管理。有了這些針對性的權(quán)限，管 理員無需全能的SYSDBA權(quán)限也可執(zhí)行管理數(shù)據(jù)庫所需的一切常規(guī)操作。應(yīng)啟用平安審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要平安事 件進行審計啟用其他默認沒有啟用的預定義策略策略功能ORA_SECURECONFIG平安配置,默認啟用ORA_DATABASE_PARAMETER 數(shù)據(jù)庫參數(shù)變更ORA_ACCOUNT_MGMT用戶帳戶和權(quán)限管理ORA_LOGON_FAILURES 失敗登錄，默認啟用AUDIT POLICY ORA_DATABASE_PARAMETER;AUDIT POLICY

14、 ORA_ACCOUNT_MGMT;查看結(jié)果select * from audit_unified enab1ed_po1icies應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進 行限制在 %ORACLEJIOME%/network/admin 中 找 sqlnet. sqa 看里邊 是否有 tcp. invited nodes=ip addr 這樣的設(shè)定TCP. VALIDNODE_CHECKING 二 yes 翻開檢查tcp. invited_nodes= （hostnamel, hostname2） 允許tcp. excluded_nodes = （hostnamel, hostname2） /拒絕應(yīng)限制單個用戶或進程對系統(tǒng)資源的最大使用限度字段含義SESSIONS_PER_USER指定限制用戶的并發(fā)會話的數(shù)目CPU_PER_SESSION 定義了每個SESSION占用的CPU的時間。（1/100 秒）IDLE_TIME會話允許連續(xù)不活動的總的時間（單位：分鐘）CONNECT_TIME指定會話的總的連接時間CP