访问控制

a）应对登录的用户分配账户和权限；

核查注意：如果本地形式部署，sys或sysdba是默认账户，无法禁用，此项默认部分符合；如果部署于云平台，不存在默认账户，此项默认符合。

b）应重命名或删除默认账户，修改默认账户的默认口令；

核查注意：须通过访谈确定sys或sysdba是否确定修改口令；

c）应及时删除或停用多余的、过期的账户，避免共享账户的存在；

核查点：多余账户、共享账户；

核查注意：离职员工、停止功能维护的账户须通过访谈确定；Oracle自身存在大量因功能而设但尚未开启而禁用的账户（如SYSBACKUP等）。

d）应授予管理用户所需的最小权限，实现管理用户的权限分离；

核查点：全局管理账户；

核查注意：如果本地形式部署，sys或sysdba是最高权限账户，无法禁用，此项默认不符合；如果部署于云平台，须核查高权限账户是否开启，未开启则默认符合。

核查命令：（以DBA权限运行）

SELECT username, user_id, created, account_status
FROM dba_users
ORDER BY username;

核查命令：（以普通权限运行）

SELECT username, user_id, created
FROM all_users
ORDER BY username;

SELECT * FROM user_users;

核查命令：（在CDB环境以云平台管理员角色运行）

SELECT username, con_id, account_status
FROM cdb_users
WHERE con_id != 0  -- 通常排除系统容器本身(SYSAUX, SYSTEM 等用户通常在 CON_ID=0 或 1 的容器里，具体查询需确认)
ORDER BY con_id, username;

核查效果：

e）应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

核查注意：通常由sys和sysdba、云平台高权限账户、云控制台数据库管理员账户确定主客体访问规则，本处默认符合，写法固定。

f）访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

核查注意：本处默认符合，写法固定。

g）应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

核查注意：本处默认不符合，写法固定。