測評項：

a) 應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；

測評方法：

1）訪問【DM管理工具界面】，詢問管理員使用哪種鑒別方式登錄數(shù)據(jù)庫并驗證登錄過程；

2）通過【數(shù)據(jù)庫查詢窗口】執(zhí)行“SELECT USERNAME FROM  DBA_USERS;”命令可以看到用戶列表，查看是否存在登錄名相同的賬戶；

<經(jīng)不嚴(yán)謹(jǐn)?shù)臏y試發(fā)現(xiàn)，無法創(chuàng)建同名賬戶>

3）登錄數(shù)據(jù)庫并驗證登錄過程,驗證是否存在空口令賬戶；

<經(jīng)不嚴(yán)謹(jǐn)?shù)臏y試發(fā)現(xiàn)，空口令無法登錄>

4）通過【數(shù)據(jù)庫查詢窗口】執(zhí)行“SELECT USERNAME,PASSWORD_VERSIONS,EXPIRY_DATE FROM DBA_USERS;”命令可以看到口令策略與口令有效期；

<用戶口令最長為48字節(jié)，系統(tǒng)支持的口令策略有：

·         0 無策略

·         1 禁止與用戶名相同

·         2 口令長度不小于9

·         4 至少包含一個大寫字母（A-Z）

·         8 至少包含一個數(shù)字（0-9）

·         16 至少包含一個標(biāo)點(diǎn)符號（英文輸入法狀態(tài)下，除“和空格外的所有符號）>

或在【用戶】列中，依次右鍵點(diǎn)擊所有用戶，點(diǎn)擊【修改】，點(diǎn)擊【資源限制】，可以看到口令策略與口令有效期。

測評項：

b)應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施；

測評方法：

1）在【用戶】列中，依次右鍵點(diǎn)擊所有用戶，點(diǎn)擊【修改】，點(diǎn)擊【資源限制】，可以看到登錄失敗處理功能是否開啟，查看登錄失敗次數(shù)及口令鎖定期；

測評項：

c) 當(dāng)進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

測評方法：

1）通過【數(shù)據(jù)庫查詢窗口】執(zhí)行“SELECT * FROM V$PARAMETER  WHERE NAME='ENABLE_ENCRYPT' OR NAME='COMM_ENCRYPT_NAME';”命令查看是否使用SSL加密通信。

 <ENABLE_ENCRYPT為1則采用SSL加密，COMM_ENCRYPT_NAME為空則不進(jìn)行加密；

數(shù)據(jù)庫服務(wù)器所在目錄下的server_ssl子目錄中存放CA的證書、服務(wù)器的證書和服務(wù)器的密鑰，同時在客戶端所在目錄下的client_ssl子目錄中存放CA的證書、客戶端的證書和客戶端的密鑰，這樣服務(wù)器和客戶端的通信即是建立在加密的SSL連接之上的。>

測評項：

d) 應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。

測評方法：

1)詢問并查看數(shù)據(jù)庫管理員在登錄數(shù)據(jù)庫的過程中使用了哪些身份鑒別方法，是否采用了兩種或兩種以上組合的鑒別技術(shù)，如口令、數(shù)字證書Ukey、令牌、指紋等，是否有一種鑒別方法在鑒別過程中使用了密碼技術(shù)。