oracle等保测评指导书

等保测评

测评基本内容

对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

对安全控制测评的描述，使用测评单元方式组织。测评单元分为安全技术测 评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。具体见下图：

测评过程

等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

测评准备测评方法 编号 1 方案编制现场测评报告编制 测试方法 人员访谈 测试方法说明 与被测信息系统相关管理人员进行交流、讨论等活动，获取相关证据，了解相关信息。 检查被测信息系统是否具有GB/T 22239-2008中规定的的制度、策略、操作规程等文档，检查是否有完整的制度执行情况2 文档审查 记录

数据安全测评指导书

测评单位名称：云南信龙科技有限公司

被测单位名称：

年 月 日 V1.0

一、 系统概述

本次需要进行测评的系统是 （以下简称 ）。

已经完成建设和验收工作。为单位规范、高效和系统的管理提供了一个稳定的计算机和网络系统平台，从而需要对该系统进行等级保护工作。

二、 安全保护等级

通过自主定级为三级等级保护。本标准依据GB 17859-1999的五个安全保护等级的划分，根据数据安全在信息系统中的作用，规定了各个安全等级的数据安全所需要的基础安全技术的要求。

本标准适用于按等级化的要求进行的数据安全的设计和实现，对按等级化要求进行的数据安全的测试和管理可参照使用。

三、 数据安全范围

数据安全的范围包括：数据完整性（S3）、数据保密性（S3）、数据备份和恢复（A3）。

四、 测评指标

1、 数据完整性（S3）：

a) 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检 测到完整性错误时采取必要的恢复措施；

b) 应能够检测到系统管理数据、鉴别信息和重要

等保测评

技术方案

2018年7月

—1—

1 等级保护测评

1.1 定级与备案

1.1.1 调研

信息系统数据使用者或管理者及业务处理信息类别 管理数据、业务数据、鉴别信息高中低 保密性S 数据泄露将造成的影响 数据泄露是否会引起法律纠纷和导致财产损失 高中低 数据安全性要求 完整性S 数据篡改或丢失将造成的影响 数据篡改或丢失是否会引起法律纠纷和导致财产损失 高中低 可用系统中断将名称 其访问权限 性A 造成的影响 描述系统中断对工作职能和业务能力的影响 系统开发人XX系统 员、系统运维人员、系统使用人员 通过调研初步确定各信息系统的名称和级别。

1.1.2 定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和

等保测评

技术方案

2018年7月

—1—

1 等级保护测评

1.1 定级与备案

1.1.1 调研

信息系统数据使用者或管理者及业务处理信息类别 管理数据、业务数据、鉴别信息高中低 保密性S 数据泄露将造成的影响 数据泄露是否会引起法律纠纷和导致财产损失 高中低 数据安全性要求 完整性S 数据篡改或丢失将造成的影响 数据篡改或丢失是否会引起法律纠纷和导致财产损失 高中低 可用系统中断将名称 其访问权限 性A 造成的影响 描述系统中断对工作职能和业务能力的影响 系统开发人XX系统 员、系统运维人员、系统使用人员 通过调研初步确定各信息系统的名称和级别。

1.1.2 定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和

湖南省电子产品检测分析所考勤

信息系统安全等级测评方案

编制： 日期：

审核： 日期：

批准： 日期：

1. 概述

1.1项目简介

湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工管理数据、政工管理数据等企业内部信息，是本单位的专有信息。如果系统受到破坏，将会严重影响电子分析所的正常工作和，因此湖南省电子产品检测分析所考勤管理信息系统在业务支撑上起着至关重要的作用。

分析所考勤管理信息系统的信息系统安全保护等级已定为二级（S2A2G2）。

湖南省网络与信息安全测评中心（以下简称测评中心）受湖南省电子检测分析所的委托，对湖南省电子产品检测分析所考勤管理信息系统进行信息系统安全等级保护测评，现场测评项目组将分为技术核查小组及管理核查小组；针对安全技术及安全管理两大方向、十个层面进行测评与分析。

本次测评的目的是建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。协助用户完成等级保护测评工作

1.2测评依据

信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》，在对信息系统进行安全技术和安全管理的

Oracle数据库 实验指导

段华斌 编著

计算机与通信工程系

实验一

实验名称：数据库的管理 实验学时：2 实验目的：

1）了解Oracle数据库的逻辑结构和物理结构。 2）熟悉Oracle的命令操作环境SQL*PLUS。

3）了解启动和关闭数据库的不同方式及其优缺点。 4）熟悉掌握各种启动、关闭方式。 实验内容及步骤：

1、 SQL*Plus的启动与关闭

（一）SQL*Plus的启动

当登录到操作系统后，有三种方法启动SQL*Plus。 方法一：

(1) 执行―开始‖→―程序‖→―Oracle – OraDb11g_home1‖→―应用程序开发‖→―SQL Plus‖命令，打开SQL Plus窗口，显示登录界面。

(2) 在登录界面中将提示输入用户名，根据提示输入相应的用户名和口令(例如system和admin)后按Enter键，SQL*Plus将连接到默认数据库。

(3) 连接到数据库之后，显示SQL>提示符，可以输入相应的SQL命令。

方法二：

(1) 执行―开始‖→―程序‖→―附件‖→―命令提示符‖，打开命令提示符窗口。 (2) 输入命令：Sqlplus / nolog

Oracle数据库 实验指导

段华斌 编著

计算机与通信工程系

实验一

实验名称：数据库的管理 实验学时：2 实验目的：

1）了解Oracle数据库的逻辑结构和物理结构。 2）熟悉Oracle的命令操作环境SQL*PLUS。

3）了解启动和关闭数据库的不同方式及其优缺点。 4）熟悉掌握各种启动、关闭方式。 实验内容及步骤：

1、 SQL*Plus的启动与关闭

（一）SQL*Plus的启动

当登录到操作系统后，有三种方法启动SQL*Plus。 方法一：

(1) 执行―开始‖→―程序‖→―Oracle – OraDb11g_home1‖→―应用程序开发‖→―SQL Plus‖命令，打开SQL Plus窗口，显示登录界面。

(2) 在登录界面中将提示输入用户名，根据提示输入相应的用户名和口令(例如system和admin)后按Enter键，SQL*Plus将连接到默认数据库。

(3) 连接到数据库之后，显示SQL>提示符，可以输入相应的SQL命令。

方法二：

(1) 执行―开始‖→―程序‖→―附件‖→―命令提示符‖，打开命令提示符窗口。 (2) 输入命令：Sqlplus / nolog

技术测评要求(S3A3G3)

等级保护三级技术类测评控制点(S3A3G3) 类别 物理位置的选择 序号 1. 2. 3. 4. 物理物理访问安全 控制 5. 测 评 内 容 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。（G2） 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。（G3） 机房出入口应安排专人值守，控制、鉴别和记录进入的人员。（G2） 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。（G2） 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。（G3） 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。（G3） 应将主要设备放置在机房内。（G2） 应将设备或主要部件进行固定，并设置明显的不易除去的标记。（G2） 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。（G2） 访谈，检查。 物理安全负责人，机房值守 人员，机房，机房安全管理制度，值守记录，进入机房的 登记记录，来访人员进入机房的审批记录。 测评方法 访谈，检查。 物理安全负责人，机房，办公场地， 机房场地设计/验收文档。 结果记录 符合情况 Y N

武汉科技大学

计算机科学与技术学院

Oracle数据库实验指导书

2010-2011第二学期

2011年2月

实验一 SQL*PLUS练习 （2学时）

【实验目的】 (1)了解Oracle的工作环境和基本使用方法。

(2) 练习标准SQL的数据操作，查询命令及其查询优化。 (3)学会使用高级SQL命令，排序、分组、自连接查询等。 (5)学会使用SQL*PLUS命令显示报表，存储到文件等。 【实验内容】 一、 准备使用SQL*PLUS 1. 进入SQL*PLUS 2. 退出SQL*PLUS

3. 显示表结构命令DESCRIBE SQL>DESCRIBE emp

使用DESCRIBE（缩写DESC）可以列出指定表的基本结构，包括各字段的字段名以及类型、长度、是否非空等信息。

4. 使用SQL*PLUS显示数据库中EMP表的内容 输入下面的查询语句： SQL>SELECT * FROM emp; 按下回车键执行查询 5. 执行命令文件

START或@命令将指定文件调入SQL缓冲区中，并执行文件内容。 SQL>@ 文件名（文件后缀缺省为.SQL）或 SQL>START 文件名

文件中每条SQL语句顺序装入缓冲区并执行。 二、 数据库命

《空间数据库原理》实验指导书

实验1 ORACLE10g的安装与使用

一 实验目的

掌握oracle的安装、配置与使用，掌握Oracle软件的新用户建立、权限角色设定等。 二 实验内容

按照 “5 实验1 Oracle10g的安装与使用-spatial实例.ppt”的步骤独立完成： 1、Oracle 10g软件的安装与测试登陆； 2、利用NetManager配置网络服务。 3、建立新用户、设立权限角色；

4、尝试在Oracle 10g的iSQL*Plus下Oracle Spatial实例分析。

实验2 ArcSDE的安装与使用

一 实验目的

1、掌握ArcSDE的安装； 2、掌握空间数据库的连接； 3、掌握ArcSDE进行数据加载。 二 实验内容

按照“9 0实验2 ArcSDE轻松入门.pdf”和“9 0实验2 ArcSDE的安装与使用.ppt”的步骤独立完成

1、ArcSDE的安装；

2、利用ArcCatalog实现空间数据库的连接。

3、在ArcCatalog中使用ArcSDE数据库加载矢量、栅格、表格等数据。 4、比较Oracle中的两个方案SDE 与MDSYS的异同。

实验3 基于C#+AE的二次开发入门

一 实验目的

1、掌握