32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级.docx

32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级.docx

《32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级.docx》由会员分享，可在线阅读，更多相关《32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级.docx（8页珍藏版）》请在冰豆网上搜索。

32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级

信息安全等级保护测评作业指导书

MSSQL（二级）

版号：

第1版

修改次数：

第0次

生效日期：

2010年05月25日

中国电力科学研究院信息安全实验室

修改页

修订号

控制编号

版号/

章节号

修改人

修订原因

批准人

批准日期

备注

1

SGISL/OP-SA49-10

树娟

按公安部要求修订

詹雄

2010.3.8

测评项编号

ADT-DB-MSSQL-01

对应要求

操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。

测评项名称

补丁升级

测评分项：

检查系统补丁安装情况

操作步骤

执行：

1）查看SQLServer版本信息

selectserverproperty（'Edition'）

selectserverproperty（'ProductLevel'）

2）查看SQLServer是否打补丁，及补丁的版本

SelectVersion

或者

SELECTSERVERPROPERTY（'ProductVersion'）

查看：

版本及补丁信息

询问：

数据库管理员

适用版本

所有Sqlserver版本数据库

实施风险

无

符合性判定

数据库系统是最新的版本，判定结果为符合；

数据库系统不是最新的版本，判定结果为不符合。

备注

测评项编号

ADT-DB-MSSQL-02

对应要求

数据库系统中不应使用默认的监听端口。

测评项名称

监听端口

测评分项：

检查监听端口

操作步骤

执行：

1、在"开始"菜单中，指向"程序"，接着指向"MicrosoftSQLServer"，然后单击"SQLServer网络实用工具"。

2、在查询分析器中执行下列语句：

Usemaster

Go

Xp_readerrorlog

查看：

使用的端口“SQLServer正在监听IP:

端口,IP:

端口。

适用版本

所有Sqlserver版本数据库

实施风险

无

符合性判定

不存在默认的1433端口，判定结果为符合；

存在默认的1433端口，判定结果为不符合。

备注

测评项编号

ADT-DB-MSSQL-03

对应要求

应对登录操作系统和数据库系统的用户进行身份标识和鉴别。

测评项名称

检查WindowsSQLServer账户

测评分项：

操作步骤

执行：

1）在SQL查询分析器或其他工具中执行命令：

selectnamefromsyslogins，查看用户名。

适用版本

Windows2000、WindowsXP、Windows2003

实施风险

无

符合性判定

不存在多余，判定结果为符合；

存在多余，判定结果为不符合。

备注

测评项编号

ADT-DB-MSSQL-04

对应要求

应启用访问控制功能，依据安全策略控制用户对资源的访问。

测评项名称

程序文件权限

测评分项：

检查程序文件的权限分配

操作步骤

执行：

在\ProgramFiles\MicrosoftSQLServer\Mssql\Binn文件夹中右键，属性查看权限。

询问：

数据库管理员对程序文件的权限设置。

适用版本

Windows2000系统中的所有Sqlserver版本数据库

实施风险

无

符合性判定

完全控制、修改、读取及运行等权限设置为允许，判定结果为符合；

完全控制、修改、读取及运行等权限设置为拒绝，判定结果为不符合。

备注

测评项编号

ADT-DB-MSSQL-05

对应要求

应启用访问控制功能，依据安全策略控制用户对资源的访问。

测评项名称

数据文件权限

测评分项：

检查SQLServer数据文件的权限分配

操作步骤

执行：

在\ProgramFiles\MicrosoftSQLServer\Mssql\Data文件夹中右键，属性查看权限。

询问：

数据库管理员对数据文件的权限设置。

适用版本

任何版本

实施风险

无

符合性判定

完全控制、修改、读取及运行等权限设置为允许，判定结果为符合；

完全控制、修改、读取及运行等权限设置为拒绝，判定结果为不符合。

备注

测评项编号

ADT-DB-MSSQL-06

对应要求

应严格限制默认的访问权限，重命名系统默认，修改这些的默认口令。

测评项名称

Sa用户

测评分项：

检查Sa用户

操作步骤

执行：

在master库中，select*fromsysloginswherepasswordisnull,查看有无空口令用户。

询问：

1）询问数据库管理员是否在安装时立刻修改sa口令。

2）询问口令的管理要求（口令的长度，口令复杂性，口令更新周期）。

适用版本

任何版本

实施风险

如不能及时通知管理员新密码，可能造成临时无法管理数据库。

符合性判定

sa用户不存在空口令或弱口令，判定结果为符合；

sa用户存在空口令或弱口令，判定结果为不符合。

备注

测评项编号

ADT-DB-MSSQL-07

对应要求

应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。

测评项名称

示例数据库

测评分项：

检查示例数据库

操作步骤

查看：

在企业管理器中，检查并记录是否删除了数据库安装时生成的示例数据库pubs和northwind。

适用版本

所有Sqlserver版本数据库

实施风险

无

符合性判定

已删除示例数据库，判定结果为符合；

未删除示例数据库，判定结果为不符合。

备注

测评项编号

ADT-DB-MSSQL-08

对应要求

应启用访问控制功能，依据安全策略控制用户对资源的访问。

测评项名称

Xp_cmdshell权限

测评分项：

检查Xp_cmdshell权限

操作步骤

执行：

在企业管理器--数据库--扩展存储过程--右键--所有任务--管理权限或在查询分析器中sp_helpextendedprocxp_cmdshell

查看：

记录xp_cmdshell的权限。

适用版本

所有Sqlserver版本数据库

实施风险

无

符合性判定

只将Xp_cmdshell权限授予sysadmin角色的成员，判定结果为符合；

将Xp_cmdshell权限授予sysadmin角色以外的用户，判定结果为不符合。

备注

测评项编号

ADT-DB-MSSQL-09

对应要求

当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。

测评项名称

检查加密设置

测评分项：

检查并记录是否安装证书以启用SSL连接

操作步骤

执行：

使用SQLServer网络实用工具，看是否选中“强制协议加密”。

适用版本

任何版本

实施风险

无

符合性判定

ForceEncryption选择为“是”，判定结果为符合；

ForceEncryption选择为“否”，判定结果为不符合。

备注