控制编号:SGISL/OP-SA49-10
信息安全等级保护测评作业指导书
MSSQL(二级)
版 号: 修 改 次 数: 生 效 日 期:
第 1 版 第 0 次
2010年05月25日
中国电力科学研究院信息安全实验室
精选
精选
中国电力科学研究院信息系统安全实验室 MSSQL等级保护测评作业指导书(二级) 控制编号:SGISL/OP-SA49-10 第 1 页 共 8 页 第 2 版 第 0 次修订 发布日期:2010年01月06日 修改页 版号/ 章节号 修订号 控制编号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA49-10 树娟 按公安部要求修订 詹雄 2010.3.8
精选
中国电力科学研究院信息系统安全实验室 MSSQL等级保护测评作业指导书(二级) 控制编号:SGISL/OP-SA49-10 第 2 页 共 8 页 第 2 版 第 0 次修订 发布日期:2010年01月06日 操作系统应遵循最小安装的原则,仅安装测评项编号 ADT-DB-MSSQL-01 对应要求 需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 测评项名称 补丁升级 测评分项:检查系统补丁安装情况 执行:1)查看SQL Server 版本信息 select serverproperty('Edition') select serverproperty('ProductLevel') 2)查看SQL Server 是否打补丁,及补丁的版本 Select @@Version 操作步骤 或者 SELECT SERVERPROPERTY('ProductVersion') 查看:版本及补丁信息 询问:数据库管理员 适用版本 实施风险 所有Sql server 版本数据库 无 数据库系统是最新的版本,判定结果为符合; 符合性判定 数据库系统不是最新的版本,判定结果为不符合。 备注
精选
中国电力科学研究院信息系统安全实验室 MSSQL等级保护测评作业指导书(二级) 控制编号:SGISL/OP-SA49-10 第 3 页 共 8 页 第 2 版 第 0 次修订 发布日期:2010年01月06日
测评项编号 ADT-DB-MSSQL-02 测评项名称 监听端口 测评分项:检查监听端口 执行:1、在\"开始\"菜单中,指向\"程序\",接着指向\"Microsoft SQL Server\",然后单击\"SQL Server 网络实用工具\"。 2、在查询分析器中执行下列语句: Use master 操作步骤 Go Xp_readerrorlog 查看:使用的端口“SQL Server 正在监听IP:端口, IP:端口。 适用版本 实施风险 所有Sql server 版本数据库 无 对应要求 数据库系统中不应使用默认的监听端口。 不存在默认的1433 端口,判定结果为符合; 符合性判定 存在默认的1433 端口,判定结果为不符合。 备注
应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 测评项编号 ADT-DB-MSSQL-03 对应要求 测评项名称 检查Windows SQL Server账户 精选
中国电力科学研究院信息系统安全实验室 MSSQL等级保护测评作业指导书(二级) 控制编号:SGISL/OP-SA49-10 第 4 页 共 8 页 第 2 版 第 0 次修订 发布日期:2010年01月06日 测评分项: 执行:1)在SQL 查询分析器或其他工具中执行命令: select name from syslogins,查看用户名。 操作步骤 适用版本 实施风险 Windows2000、Windows XP、Windows 2003 无 不存在多余帐户,判定结果为符合; 符合性判定 存在多余帐户,判定结果为不符合。 备注
应启用访问控制功能,依据安全策略控制用户对资源的访问。 测评项编号 ADT-DB-MSSQL-04 测评项名称 程序文件权限 对应要求 测评分项:检查程序文件的权限分配 执行:在\\Program Files\\Microsoft SQL Server\\Mssql\\Binn 文件夹中右键,属性查看权限。 操作步骤 询问:数据库管理员对程序文件的权限设置。 适用版本 实施风险 Windows 2000 系统中的所有Sql server 版本数据库 无 符合性判定 完全控制、修改、读取及运行等权限设置为允许,判定结果为符合; 精选
中国电力科学研究院信息系统安全实验室 MSSQL等级保护测评作业指导书(二级) 控制编号:SGISL/OP-SA49-10 第 5 页 共 8 页 第 2 版 第 0 次修订 发布日期:2010年01月06日 完全控制、修改、读取及运行等权限设置为拒绝,判定结果为不符合。 备注
应启用访问控制功能,依据安全策略控制用户对资源的访问。 测评项编号 ADT-DB-MSSQL-05 测评项名称 数据文件权限 对应要求 测评分项:检查SQL Server数据文件的权限分配 执行:在\\Program Files\\Microsoft SQL Server\\Mssql\\Data 文件夹中右键,属性查看权限。 操作步骤 询问:数据库管理员对数据文件的权限设置。 适用版本 实施风险 任何版本 无 完全控制、修改、读取及运行等权限设置为允许,判定结果为符合; 符合性判定 完全控制、修改、读取及运行等权限设置为拒绝,判定结果为不符合。 备注
应严格限制默认帐户的访问权限,重命名测评项编号 ADT-DB-MSSQL-06 对应要求 系统默认帐户,修改这些帐户的默认口令。 精选
中国电力科学研究院信息系统安全实验室 MSSQL等级保护测评作业指导书(二级) 控制编号:SGISL/OP-SA49-10 第 6 页 共 8 页 第 2 版 第 0 次修订 发布日期:2010年01月06日 测评项名称 Sa用户 测评分项:检查Sa用户 执行:在master 库中,select * from syslogins where password is null,查看有无空口令用户。 询问: 1)询问数据库管理员是否在安装时立刻修改sa 口令。 2)询问口令的管理要求(口令的长度,口令复杂性,口令更新操作步骤 适用版本 周期)。 任何版本 如不能及时通知管理员新密码,可能造成临时无法管理数据库。 实施风险 sa 用户不存在空口令或弱口令,判定结果为符合; 符合性判定 sa 用户存在空口令或弱口令,判定结果为不符合。 备注
应能够对重要程序的完整性进行检测,并测评项编号 ADT-DB-MSSQL-07 对应要求 在检测到完整性受到破坏后具有恢复的措施。 测评项名称 示例数据库 测评分项:检查示例数据库 操作步骤 查看:在企业管理器中,检查并记录是否删除了数据库安装时生成的示精选
中国电力科学研究院信息系统安全实验室 MSSQL等级保护测评作业指导书(二级) 控制编号:SGISL/OP-SA49-10 第 7 页 共 8 页 第 2 版 第 0 次修订 发布日期:2010年01月06日 例数据库pubs 和northwind。 适用版本 实施风险 所有Sql server 版本数据库 无 已删除示例数据库,判定结果为符合; 符合性判定 未删除示例数据库,判定结果为不符合。 备注
应启用访问控制功能,依据安全策略控制用户对资源的访问。 测评项编号 ADT-DB-MSSQL-08 对应要求 测评项名称 Xp_cmdshell权限 测评分项:检查Xp_cmdshell权限 执行:在企业管理器--数据库--扩展存储过程--右键--所有任务--管理权限或在查询分析器中sp_helpextendedproc xp_cmdshell 操作步骤 查看:记录xp_cmdshell 的权限。 适用版本 实施风险 所有Sql server 版本数据库 无 只将Xp_cmdshell 权限授予sysadmin 角色的成员,判定结果为符合; 符合性判定 将Xp_cmdshell 权限授予sysadmin 角色以外的用户,判定结果为不符合。 精选
中国电力科学研究院信息系统安全实验室 MSSQL等级保护测评作业指导书(二级) 控制编号:SGISL/OP-SA49-10 第 8 页 共 8 页 第 2 版 第 0 次修订 发布日期:2010年01月06日 备注
当对服务器进行远程管理时,应采取必要测评项编号 ADT-DB-MSSQL-09 对应要求 措施,防止鉴别信息在网络传输过程中被窃听。 测评项名称 检查加密设置 测评分项:检查并记录是否安装证书以启用 SSL 连接 执行:使用SQL Server 网络实用工具,看是否选中“强制协议加密”。 操作步骤 适用版本 实施风险 任何版本 无 ForceEncryption 选择为“是”,判定结果为符合; 符合性判定 ForceEncryption 选择为“否”,判定结果为不符合。 备注
精选
因篇幅问题不能全部显示,请点此查看更多更全内容