《实验四等保体系建设》实验指导书（模板）

1、实验四等保体系建设(2)一、实验目的1、理解路由器设备测评指标，并掌握路由器设备平安加固方法。2、理解Oracle数据库测评指标，并掌握Oracle数据库的加固方法。二、实验环境路由器(Cisco 2811)模拟器、Oracle 12 R2、SQL PLUS SQL Developer三、实验内容及实验步骤1、路由器设备平安加固删除多余或无效的访问控制规那么，优化访问控制列表，并保证访问控制规那么 数量最小化核查设备是否不存在多余或无效的访问控制策略和核查设备的不同访问控 制策略之间的逻辑关系及前后排列顺序是否合理。应在网络边界、重要网络节点进 行平安审计，审计覆盖到每个用户，对重要的用户行为

2、和重要平安事件进行审计查看交换机日志审计功能的开启情况Console logging Monitor logging Buffer logging 的 level 设置为 informationalo假设设备未配置日志服务器，那么Trap logging可不启用Routerttshow loggingSyslog logging: enabled (1 messages dropped, 2 messages rate-limited, 0flushes, 0 overruns, xml disabled, filtering disabled)Console logging: level i

3、nformational, 146 messages logged, xml disabled,filtering disabledMonitor logging: level debugging, 0 messages logged, xml disabled,filtering disabledBuffer logging: level informational, 30 messages logged, xml disabled,filtering disabledLogging Exception size (4096 bytes)Count and timestamp logging

4、 messages: enabled或者Routerttshow running-config logging userinfo 记录用户权限相关日志logging buffered 4096 informationallogging console informationallogging monitor informationalRouter(config)ttlogin on-failure logon-success通过访谈网络管理员采用何种方法对用户行为进行记录，并在管理员的配合 下进行验证 由于设备本身日志只可对用户登录/登出行为进行记录，需要使用 ACS服务器等其它方式方可对用户

5、的操作行为进行记录；Ciscoworks . solarwinds等网管监控软件可对设备状态进行监控.Routerftshow running-configlogging userinfo 记录用户权限相关日志应对审计记录进行保护，定期备份，防止受到未预期的删除、修改或覆盖等访谈网络设备管理员采用何种手段防止了审计日志的未授权修改、删除及破坏. 例如可以设置专门的日志服务器Routerttshow loggingTrap logging: level informational, 150 message lines loggedLogging to 192.168.30.2 (udp port

6、 514, audit disabled, link up), 57 message lines logged, xml disabled,filtering disabled应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息 具有复杂度要求并定期更换设置AUX Console 口、VTY 口及特权模式口令。假设物理环境控制严格，在AUX 口、Console 口无外联线路的情况下，可不设置口令。Router(config)#line vty 0 4Router (config-line) ftlogin local 开始本地认证2. Oracle数据库平安加固启动docker环

7、境docker run -d -p 8080:8080 -p 1521:1521 sath89/oracle-12c进入oracle镜像交互式模式docker exec -it *container ID* /bin/bash使用 sqlplus 连接 oraclesqlplus sys/oracle as sysdba启动oracle用户建立密码复杂度校验函数的脚本/u01/app/orac1e-product/12. 1. 0/xe/rdbms/admin/utIpwdmg. sql应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具 有复杂度要求并定期更换设置密码复杂度验

8、证 Oracle 12自带密码复杂度验证函数 oral2c_verify_function 和 oral2c_strong_verify_function 参考 字段含义 ora 12c_verify_function长度至少为8且至少包含1个数字、1个字符，不 能和用户名相同或相反，不能包含oracle,与之前设置的密码至少有8个不同 字符，至少包含1个特殊字符oral2c_strong_verify_function至少包括2个大写字符、2个小写字符、2 个数字、2个特殊字符，和之前设置的密码至少有4个不同字符oral2c_strong_verify_functionALTER PROFI

9、LE default LIMIT PASSWORD_VERIFY_FUNCTION oral2c_strong_verify_function;验证CREATE USER c#test IDENTIFIED BY 123456SQL错误：ORA-28003:指定口令的口令验证失败0RA-20001: Password length less than 928003. 00000 - /zpassword verification for the specified password failed*Cause:The new password did not meet the necessary

10、 complexityspecifications and the pas sword ver i f y_f unction failedAction:Enter a different password. Contact the DBA to know therules forchoosing the new password应具有登录失败处理功能，配置并启用结束会话、限制非法登录次数和当登录 连接超时自动退出等相关措施默认做了账户锁定，可以根据实际情况进行调整字段 含义默认值FAILED_LOGIN_ATTEMPTS尝试登录失败次数10PASSWORD_LOCK_TIME 锁定时间（天）

11、1应重命名晟删除默认账户，修改默认账户的默认口令重命名默认用户，如SYS, SYSTEM, scott 2如果使用约定俗成的口令，需要进 行更换仅支持11版本，12版本移了 rename语法alter user scott rename to tiger;应及时删除或停用多余的、过期的账户，防止共享账户的存在应进行角色划分，并授予管理用户所需的最小权限，实现管理用户的权限分最小权限原那么是指应为该系统的每个用户仅授予完成其预定任务或职能所 需的最小一组权限。授予用户或角色权限时，最好授予所需的特定对象权限，而不是 授予允许访问数据库中所有对象的广泛系统权限。同样，创立角色时应仅包含完成特定 职

12、能所需的少量权限，而不是创立像内置的DBA角色这样非常强大的角色。授予 用户一些小权限角色可确保用户与所需完成的任务相匹配，而不必授予过多不需要的权 限。职责别离的理念与最小权限原那么密切相关。具体来说,应让多个用户承当不同权限， 而不是创立一个超级用户。采用这种方式划分管理权限可加强责任界定，而且还可避 免受信任的管理员滥用权限。为了支持最小权限和职责别离原那么，Oracle数据库很早就引入了 SYSOPER 管理权限,允许管理员执行启动和停止金库等特定任务,而无需授予其SYSDBA的完全权 限。Oracle Database 12c 新增的管理权限包括 SYSBACKUP、SYSDG 和

13、SYSKM,分 别用于支持数据库备份、Data Guard管理和密钥管理。有了这些针对性的权限，管 理员无需全能的SYSDBA权限也可执行管理数据库所需的一切常规操作。应启用平安审计功能，审计覆盖到每个用户，对重要的用户行为和重要平安事 件进行审计启用其他默认没有启用的预定义策略策略功能ORA_SECURECONFIG平安配置,默认启用ORA_DATABASE_PARAMETER 数据库参数变更ORA_ACCOUNT_MGMT用户帐户和权限管理ORA_LOGON_FAILURES 失败登录，默认启用AUDIT POLICY ORA_DATABASE_PARAMETER;AUDIT POLICY

14、 ORA_ACCOUNT_MGMT;查看结果select * from audit_unified enab1ed_po1icies应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进 行限制在 %ORACLEJIOME%/network/admin 中 找 sqlnet. sqa 看里边 是否有 tcp. invited nodes=ip addr 这样的设定TCP. VALIDNODE_CHECKING 二 yes 翻开检查tcp. invited_nodes= （hostnamel, hostname2） 允许tcp. excluded_nodes = （hostnamel, hostname2） /拒绝应限制单个用户或进程对系统资源的最大使用限度字段含义SESSIONS_PER_USER指定限制用户的并发会话的数目CPU_PER_SESSION 定义了每个SESSION占用的CPU的时间。（1/100 秒）IDLE_TIME会话允许连续不活动的总的时间（单位：分钟）CONNECT_TIME指定会话的总的连接时间CP