32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级.docx
《32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级.docx》由会员分享,可在线阅读,更多相关《32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级.docx(8页珍藏版)》请在冰点文库上搜索。
32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级
控制编号:
SGISL/OP-SA49-10
信息安全等级保护测评作业指导书
MSSQL(二级)
版号:
第1版
修改次数:
第0次
生效日期:
2010年05月25日
中国电力科学研究院信息安全实验室
修改页
修订号
控制编号
版号/
章节号
修改人
修订原因
批准人
批准日期
备注
1
SGISL/OP-SA49-10
树娟
按公安部要求修订
詹雄
2010.3.8
测评项编号
ADT-DB-MSSQL-01
对应要求
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
测评项名称
补丁升级
测评分项:
检查系统补丁安装情况
操作步骤
执行:
1)查看SQLServer版本信息
selectserverproperty('Edition')
selectserverproperty('ProductLevel')
2)查看SQLServer是否打补丁,及补丁的版本
Select@@Version
或者
SELECTSERVERPROPERTY('ProductVersion')
查看:
版本及补丁信息
询问:
数据库管理员
适用版本
所有Sqlserver版本数据库
实施风险
无
符合性判定
数据库系统是最新的版本,判定结果为符合;
数据库系统不是最新的版本,判定结果为不符合。
备注
测评项编号
ADT-DB-MSSQL-02
对应要求
数据库系统中不应使用默认的监听端口。
测评项名称
监听端口
测评分项:
检查监听端口
操作步骤
执行:
1、在"开始"菜单中,指向"程序",接着指向"MicrosoftSQLServer",然后单击"SQLServer网络实用工具"。
2、在查询分析器中执行下列语句:
Usemaster
Go
Xp_readerrorlog
查看:
使用的端口“SQLServer正在监听IP:
端口,IP:
端口。
适用版本
所有Sqlserver版本数据库
实施风险
无
符合性判定
不存在默认的1433端口,判定结果为符合;
存在默认的1433端口,判定结果为不符合。
备注
测评项编号
ADT-DB-MSSQL-03
对应要求
应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
测评项名称
检查WindowsSQLServer账户
测评分项:
操作步骤
执行:
1)在SQL查询分析器或其他工具中执行命令:
selectnamefromsyslogins,查看用户名。
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无
符合性判定
不存在多余帐户,判定结果为符合;
存在多余帐户,判定结果为不符合。
备注
测评项编号
ADT-DB-MSSQL-04
对应要求
应启用访问控制功能,依据安全策略控制用户对资源的访问。
测评项名称
程序文件权限
测评分项:
检查程序文件的权限分配
操作步骤
执行:
在\ProgramFiles\MicrosoftSQLServer\Mssql\Binn文件夹中右键,属性查看权限。
询问:
数据库管理员对程序文件的权限设置。
适用版本
Windows2000系统中的所有Sqlserver版本数据库
实施风险
无
符合性判定
完全控制、修改、读取及运行等权限设置为允许,判定结果为符合;
完全控制、修改、读取及运行等权限设置为拒绝,判定结果为不符合。
备注
测评项编号
ADT-DB-MSSQL-05
对应要求
应启用访问控制功能,依据安全策略控制用户对资源的访问。
测评项名称
数据文件权限
测评分项:
检查SQLServer数据文件的权限分配
操作步骤
执行:
在\ProgramFiles\MicrosoftSQLServer\Mssql\Data文件夹中右键,属性查看权限。
询问:
数据库管理员对数据文件的权限设置。
适用版本
任何版本
实施风险
无
符合性判定
完全控制、修改、读取及运行等权限设置为允许,判定结果为符合;
完全控制、修改、读取及运行等权限设置为拒绝,判定结果为不符合。
备注
测评项编号
ADT-DB-MSSQL-06
对应要求
应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。
测评项名称
Sa用户
测评分项:
检查Sa用户
操作步骤
执行:
在master库中,select*fromsysloginswherepasswordisnull,查看有无空口令用户。
询问:
1)询问数据库管理员是否在安装时立刻修改sa口令。
2)询问口令的管理要求(口令的长度,口令复杂性,口令更新周期)。
适用版本
任何版本
实施风险
如不能及时通知管理员新密码,可能造成临时无法管理数据库。
符合性判定
sa用户不存在空口令或弱口令,判定结果为符合;
sa用户存在空口令或弱口令,判定结果为不符合。
备注
测评项编号
ADT-DB-MSSQL-07
对应要求
应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。
测评项名称
示例数据库
测评分项:
检查示例数据库
操作步骤
查看:
在企业管理器中,检查并记录是否删除了数据库安装时生成的示例数据库pubs和northwind。
适用版本
所有Sqlserver版本数据库
实施风险
无
符合性判定
已删除示例数据库,判定结果为符合;
未删除示例数据库,判定结果为不符合。
备注
测评项编号
ADT-DB-MSSQL-08
对应要求
应启用访问控制功能,依据安全策略控制用户对资源的访问。
测评项名称
Xp_cmdshell权限
测评分项:
检查Xp_cmdshell权限
操作步骤
执行:
在企业管理器--数据库--扩展存储过程--右键--所有任务--管理权限或在查询分析器中sp_helpextendedprocxp_cmdshell
查看:
记录xp_cmdshell的权限。
适用版本
所有Sqlserver版本数据库
实施风险
无
符合性判定
只将Xp_cmdshell权限授予sysadmin角色的成员,判定结果为符合;
将Xp_cmdshell权限授予sysadmin角色以外的用户,判定结果为不符合。
备注
测评项编号
ADT-DB-MSSQL-09
对应要求
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
测评项名称
检查加密设置
测评分项:
检查并记录是否安装证书以启用SSL连接
操作步骤
执行:
使用SQLServer网络实用工具,看是否选中“强制协议加密”。
适用版本
任何版本
实施风险
无
符合性判定
ForceEncryption选择为“是”,判定结果为符合;
ForceEncryption选择为“否”,判定结果为不符合。
备注
升级会员 