32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级文档格式.docx

32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级文档格式.docx

《32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级文档格式.docx》由会员分享，可在线阅读，更多相关《32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级文档格式.docx（8页珍藏版）》请在冰豆网上搜索。

控制编号

版号/

章节号

修改人

修订原因

批准人

批准日期

备注

1

SGISL/OP-SA49-10

树娟

按公安部要求修订

詹雄

2010.3.8

测评项编号

ADT-DB-MSSQL-01

对应要求

操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。

测评项名称

补丁升级

测评分项：

检查系统补丁安装情况

操作步骤

执行：

1）查看SQLServer版本信息

selectserverproperty（'

Edition'

）

ProductLevel'

2）查看SQLServer是否打补丁，及补丁的版本

SelectVersion

或者

SELECTSERVERPROPERTY（'

ProductVersion'

查看：

版本及补丁信息

询问：

数据库管理员

适用版本

所有Sqlserver版本数据库

实施风险

无

符合性判定

数据库系统是最新的版本，判定结果为符合；

数据库系统不是最新的版本，判定结果为不符合。

ADT-DB-MSSQL-02

数据库系统中不应使用默认的监听端口。

监听端口

检查监听端口

1、在"

开始"

菜单中，指向"

程序"

，接着指向"

MicrosoftSQLServer"

，然后单击"

SQLServer网络实用工具"

。

2、在查询分析器中执行下列语句：

Usemaster

Go

Xp_readerrorlog

使用的端口“SQLServer正在监听IP:

端口,IP:

端口。

不存在默认的1433端口，判定结果为符合；

存在默认的1433端口，判定结果为不符合。

ADT-DB-MSSQL-03

应对登录操作系统和数据库系统的用户进行身份标识和鉴别。

检查WindowsSQLServer账户

1）在SQL查询分析器或其他工具中执行命令：

selectnamefromsyslogins，查看用户名。

Windows2000、WindowsXP、Windows2003

不存在多余，判定结果为符合；

存在多余，判定结果为不符合。

ADT-DB-MSSQL-04

应启用访问控制功能，依据安全策略控制用户对资源的访问。

程序文件权限

检查程序文件的权限分配

在\ProgramFiles\MicrosoftSQLServer\Mssql\Binn文件夹中右键，属性查看权限。

数据库管理员对程序文件的权限设置。

Windows2000系统中的所有Sqlserver版本数据库

完全控制、修改、读取及运行等权限设置为允许，判定结果为符合；

完全控制、修改、读取及运行等权限设置为拒绝，判定结果为不符合。

ADT-DB-MSSQL-05

数据文件权限

检查SQLServer数据文件的权限分配

在\ProgramFiles\MicrosoftSQLServer\Mssql\Data文件夹中右键，属性查看权限。

数据库管理员对数据文件的权限设置。

任何版本

ADT-DB-MSSQL-06

应严格限制默认的访问权限，重命名系统默认，修改这些的默认口令。

Sa用户

检查Sa用户

在master库中，select*fromsysloginswherepasswordisnull,查看有无空口令用户。

1）询问数据库管理员是否在安装时立刻修改sa口令。

2）询问口令的管理要求（口令的长度，口令复杂性，口令更新周期）。

如不能及时通知管理员新密码，可能造成临时无法管理数据库。

sa用户不存在空口令或弱口令，判定结果为符合；

sa用户存在空口令或弱口令，判定结果为不符合。

ADT-DB-MSSQL-07

应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。

示例数据库

检查示例数据库

在企业管理器中，检查并记录是否删除了数据库安装时生成的示例数据库pubs和northwind。

已删除示例数据库，判定结果为符合；

未删除示例数据库，判定结果为不符合。

ADT-DB-MSSQL-08

Xp_cmdshell权限

检查Xp_cmdshell权限

在企业管理器--数据库--扩展存储过程--右键--所有任务--管理权限或在查询分析器中sp_helpextendedprocxp_cmdshell

记录xp_cmdshell的权限。

只将Xp_cmdshell权限授予sysadmin角色的成员，判定结果为符合；

将Xp_cmdshell权限授予sysadmin角色以外的用户，判定结果为不符合。

ADT-DB-MSSQL-09

当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。

检查加密设置

检查并记录是否安装证书以启用SSL连接

使用SQLServer网络实用工具，看是否选中“强制协议加密”。

ForceEncryption选择为“是”，判定结果为符合；

ForceEncryption选择为“否”，判定结果为不符合。