返回
主机等级测评指导书(三级)-SQL

主机等级测评指导书(三级)-SQL

ID:39476954

大小:87.50 KB

页数:7页

时间:2019-07-04

主机等级测评指导书(三级)-SQL_第1页
主机等级测评指导书(三级)-SQL_第2页
主机等级测评指导书(三级)-SQL_第3页
主机等级测评指导书(三级)-SQL_第4页
主机等级测评指导书(三级)-SQL_第5页
资源描述:

《主机等级测评指导书(三级)-SQL》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、SQL等级测评指导书2010年10月项目编号:测评等级:三级测评指导书适用范围:SQL2003以上版本版本:Ver1.0一、测评对象名称型号对象分类说明Oracle数据库Oracle10g主机二、测评指标类别主机安全:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制三、测评实施测评指标测评项操作步骤预期结果说明身份鉴别a、应对登录操作系统和数据库系统的用户进行身份标识和鉴别1)展开服务器组,右键单击服务器->在弹出的右键菜单中单击“属性”,在“安全性”选项卡中查看“身份验证”认证方式是否为“SQLSe

2、rver和Windows”。2)以企业管理器的方式登录SQLServer数据库,查看是否提示输入用户密码。确认“安全性”选项卡中查看“身份验证”认证方式为“SQLServer和Windows”b、1)询问是否在安装时立刻修改sa口令,并保证sa账户的口令具有足够的强度。sa账户的口令具有足够的强度,口令强度与管理员回答一致,不存在空口令用户,7/7操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换2)让数据库管理员以sa账户的身份登录数据库,查看口令强度与管理员回答是否一致。3)在maste

3、r库中,执行命令:select*fromsysloginswherepasswordisnull,查看是否存在空口令用户。4)询问数据库管理员,SQLServer数据库的口令管理要求(口令的长度,口令复杂性,口令更新周期)。口令应有复杂度要求并定期更换c、应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施1)使用sp_configure查看有无鉴别失败和超时等方面的设置。2)询问数据库管理员是否采取其他措施保证上述安全功能的实现。具有登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施d、当对

4、服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听1)询问数据库管理员,是否配置了SQLServer,保证远程管理数据加密传输。2)在服务器网络实用工具中查看是否启用了“强制协议密码”。当对服务器进行远程管理时,有对应措施防止鉴别信息在网络传输过程中被窃听e、应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性询问数据库管理员,是否为不同的用户分配不同的账户。操作系统和数据库系统的不同用户具有不同的用户名,用户名具有唯一性f、应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别1)询

5、问数据库的身份鉴别方式,是否采用除用户名/密码外其他鉴别技术。2)如果使用其他技术,则查看该技术的实现情况。采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,身份鉴别信息至少有一种是不可伪造的访问控制a、应启用访问控制功能,依据安全策略控制用户对资源的访问1)在SQLServerEnterpriseManager的安全管理器中查看系统管理员是否为每个登录用户分配了服务器角色。启用访问控制功能,依据安全策略控制用户对资源的访问7/72)查看SQLServer数据库是否问角色限定了权限,权限的覆盖范围是否包括与信息安全直接相关

6、的主体和客体及他们之间的操作。b、应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限在“企业管理器”->“安全性”中,选中每个登录用户,在右键菜单中选择“属性”,查看每个登录用户的角色和权限,查看是否是该用户所需的最小权限。管理用户具有权限分离,仅授予管理用户所需的最小权限c、应实现操作系统和数据库系统特权用户的权限分离1)询问是否由不同员工分别担任操作系统管理员与数据库管理员。2)登录操作系统,查看是否能对数据库系统进行操作。操作系统和数据库系统特权用户具有权限分离d、应严格限制默认帐户的访问权

7、限,重命名系统默认帐户,修改这些帐户的默认口令1)询问数据库管理员,是否加强了sa的口令强度,并让管理员登录数据库系统进行口令验证。2)查看public的权限,是否严格限制public的权限。3)查看是否有guest账户,是否严格限制guest的权限。严格限制默认帐户的访问权限,限制重命名系统默认帐户,限制修改这些帐户的默认口令e、应及时删除多余的、过期的帐户,避免共享帐户的存在在SQL查询分析器中执行命令:selectnamefromsyslogins,询问每个账户的用途,查看是否存在多余的、过期的账户。删除多余的、过期的帐户

8、f、应对重要信息资源设置敏感标记询问系统管理员,是否实现了上述功能,具体措施是什么。重要信息资源具有敏感标记g、应依据安全策略严格控制用户对有敏感标记重要信息资源的操作询问系统管理员,是否实现了该功能,具体措施是什么。安全审计a、1)在“企业管理器”7/7审计范

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。