主機(jī)等級(jí)測(cè)評(píng)指導(dǎo)書三級(jí)

1、主機(jī)等級(jí)測(cè)評(píng)指導(dǎo)書三級(jí)SQL等級(jí)測(cè)評(píng)指導(dǎo)書 2021年10月 工程編號(hào)： 測(cè)評(píng) 等級(jí)：三級(jí) 測(cè)評(píng)指導(dǎo)書適用范圍： SQL2003以上 版本 版本：Ver 一、測(cè)評(píng)對(duì)象 名稱Oracle數(shù)據(jù)庫(kù) 型號(hào)Oracle 10g對(duì)象分類主機(jī)說(shuō)明 二、測(cè)評(píng)指標(biāo)類別 主機(jī)平安：身份 鑒別、訪問(wèn)限制、平安審計(jì)、剩余信息 保護(hù)、入侵防范、惡意代碼防范、資源 限制 三、測(cè)評(píng)實(shí)施測(cè)評(píng)指標(biāo)測(cè)評(píng)項(xiàng)操作步驟1展開(kāi)效勞器組,右 鍵單擊效勞器-在彈出的右鍵菜單中單 擊“屬性,在 平安性選項(xiàng)預(yù)期結(jié)果 確 認(rèn)平安性選項(xiàng)卡中查看 身份驗(yàn)證認(rèn) 證方式為“SQLServer和Window'說(shuō) 明身份鑒別a、應(yīng)對(duì)登錄操作系統(tǒng)卡中

2、查看身份驗(yàn)證和數(shù)據(jù)庫(kù)系統(tǒng)的用戶認(rèn) 證方式是否為“SQL進(jìn)行身份標(biāo)識(shí)和鑒 別Server和 Windows o 2以企業(yè)管理器的方式登錄SQL Server數(shù)據(jù)庫(kù),查 看是否提示輸入用戶密碼.b、操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)治理用戶身份標(biāo)識(shí)應(yīng)具 有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)1詢問(wèn)是否在安裝時(shí)立sa賬戶的口令具有 刻修改sa 口令,并保證足夠的強(qiáng)度,口 令sa賬戶的口令具有足夠強(qiáng)度與治理員 答復(fù)的強(qiáng)度.一致,不存在空口 2讓數(shù)據(jù)庫(kù)治理員以sa令用戶,口令應(yīng)有 1 / 7雜度要求并定期更換賬戶的身份登錄數(shù)據(jù)復(fù)雜度要求并定期庫(kù),查看 口令強(qiáng)度與管更換理員答復(fù)是否一致.3在master庫(kù)中,執(zhí)行命令：sele

3、ct * from syslogins where password is null, 查看是 否存在空口令用戶.4詢問(wèn)數(shù)據(jù)庫(kù)管理員,SQL Server數(shù)據(jù)庫(kù)的口令治理要 求.c、應(yīng)啟用登錄失敗處理功能,可 采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自 動(dòng)退出等舉措d、當(dāng)對(duì)效勞器進(jìn)行遠(yuǎn)程 治理時(shí),應(yīng)采取必要舉措,預(yù)防鑒別信 息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng) e、應(yīng)為操 作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不 同的用戶名,保證用戶名具有唯一性1 詢問(wèn)數(shù)據(jù)庫(kù)的身份鑒采用兩種或兩種以 f、應(yīng)采用兩種或兩種以上組合的鑒別技 術(shù)對(duì)治理用戶進(jìn)行身份鑒別別方式,是 否采用除用上組合的鑒別技術(shù)戶名/密碼 外其他鑒別對(duì)治理用戶進(jìn)行

4、身技術(shù). 份 鑒別,身份鑒別2如果使用其他技術(shù), 信息至少有一種是那么查看該技術(shù)的實(shí)現(xiàn) 情不可偽造的 況.1在SQL Server啟 用訪問(wèn)限制功1使用sp_configure具有 登錄失敗處理查看有無(wú)鑒別失敗和超 功能,可采取結(jié)束時(shí)等方面的設(shè)置.會(huì) 話、限制非法登2詢問(wèn)數(shù)據(jù)庫(kù)治理員是 錄次數(shù)和自動(dòng)退出否采取其他舉措保證 上等舉措 述平安功能的實(shí)現(xiàn).1詢問(wèn) 數(shù)據(jù)庫(kù)治理員,當(dāng)對(duì)效勞器進(jìn)行遠(yuǎn)是否 配置了 SQL Serve,保證遠(yuǎn)程治理數(shù)據(jù) 加密傳輸.2在效勞器網(wǎng)絡(luò)實(shí)用工具 中查看是否啟用了 強(qiáng)制協(xié)議密碼詢 問(wèn)數(shù)據(jù)庫(kù)治理員,是操作系統(tǒng)和數(shù)據(jù)庫(kù) 否為不同的用戶分配不系統(tǒng)的不同用戶 具同的賬戶. 有不

5、同的用戶名,用戶名具有唯一性程治理時(shí),有對(duì)應(yīng)舉措預(yù)防 鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)訪問(wèn)限制a、應(yīng)啟用訪問(wèn)限制功能,依據(jù)安 全策略限制用戶對(duì)資源的訪問(wèn) Enterprise Manager的能,依據(jù)平安策略 平安治理器中查看系統(tǒng)限制用戶對(duì)資源 的治理員是否為每個(gè)登錄訪問(wèn)2 / 7用戶分配了效勞器角色.2查看SQL Server數(shù)據(jù)庫(kù)是否問(wèn)角色限定了權(quán)限, 權(quán)限的覆蓋范圍是否包括與信息平安直 接相關(guān)的主體和客體及他們之間的操 作.在企業(yè)治理器-> 安b、應(yīng)根據(jù)管 理用戶的角色分配權(quán)限,實(shí)現(xiàn)治理用戶 的權(quán)限別離,僅授予治理用戶所需的最 小權(quán)限 治理用戶具有權(quán)限 全性中,選 中每個(gè)登別離,僅授

6、予治理錄用戶,在 右鍵菜單中用戶所需的最小權(quán)選擇屬性,查看每個(gè)限 登錄用戶的角色和權(quán) 限,查看是否是該用戶所需的最小權(quán)限. 1詢問(wèn)是否不同員工操作系統(tǒng)和數(shù)據(jù)庫(kù) c、應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用 戶的權(quán)限別離分別擔(dān)任操作系統(tǒng)治理系統(tǒng)特權(quán)用戶具有員與數(shù)據(jù)庫(kù)治理員.權(quán)限別離2登錄操作系統(tǒng),查看是否 能對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行操作.1詢問(wèn)數(shù)據(jù)庫(kù)治理員,嚴(yán)格限制默認(rèn)帳戶是否加 強(qiáng)了 sa的口令強(qiáng)的訪問(wèn)權(quán)限,限制 d、 應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限,重命 名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn) 口令 度,并讓治理員登錄數(shù)重命名系統(tǒng) 默認(rèn)帳據(jù)庫(kù)系統(tǒng)進(jìn)行口令驗(yàn)戶,限制修 改這些證.帳戶的默認(rèn)口令 2查看public的

7、權(quán)限,是否嚴(yán)格限制public的權(quán) 限.3查看是否有g(shù)uest賬戶,是否嚴(yán) 格限制guest的權(quán)限.在SQL查詢分析 器中執(zhí)刪除多余的、過(guò)期 行命令：select name的帳戶 from syslogins,詢問(wèn)每個(gè) 賬戶的用途,查看是否存在多余的、過(guò) 期的賬戶. 詢問(wèn)系統(tǒng)治理員,是否 e、 應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶,預(yù)防 共享帳戶的存在f、應(yīng)對(duì)重要信息資源 設(shè)置敏感標(biāo)記g、應(yīng)依據(jù)平安策略嚴(yán)格 限制用戶對(duì)有敏感標(biāo)記重要信息資源的 實(shí)現(xiàn)了上述功能,具體敏感標(biāo)記舉措是什么. 詢問(wèn)系統(tǒng)治理員,是否 實(shí)現(xiàn)了 該功能,具體舉措是什么.重要信息資源具有 3 / 7 操作1在企業(yè)治理 器-> 審

8、計(jì)范圍覆蓋到服 右鍵單擊注冊(cè) 名稱,單務(wù)器和重要客戶端擊屬 性-> 平安性,上的每個(gè)操作系統(tǒng)查看 每個(gè)注冊(cè)的 審核用戶和數(shù)據(jù)庫(kù)用戶 級(jí) 別是否為 全部.2詢問(wèn)數(shù)據(jù)庫(kù)治理 員,是否采取第三方工具或其他舉措增 強(qiáng)SQL Server的日志功能.3用不同 的用戶登錄數(shù)據(jù)庫(kù)系統(tǒng)并進(jìn)行不同的操 作,在SQL Server數(shù)據(jù)庫(kù)中查看日志記 錄.1在 企業(yè)治理器->審計(jì)內(nèi)容包括 重要 右鍵單擊注冊(cè)名稱->單用戶行為、 系統(tǒng)資擊 屬性-> 平安性,源的異常使 用和重查看每個(gè)注冊(cè)的審核要系統(tǒng)命令的使用級(jí)別是否為全部.等系統(tǒng) 內(nèi)重要的安b、審計(jì)內(nèi)容應(yīng)包括重要用戶 行為、系統(tǒng)資源的異常使用

9、和重要系統(tǒng) 命令的使用等系統(tǒng)內(nèi)重要的平安相關(guān)事 件2詢問(wèn)數(shù)據(jù)庫(kù)治理員,全相關(guān)事件 是否采取第三方工具或其他舉措增強(qiáng)SQL Server的日志功能. 3在 SQL Server數(shù)據(jù)庫(kù)中的日志記錄,是否包括 重要用戶行為、系統(tǒng)資源異常和重要系 統(tǒng)命令的使用的日志記錄 1在 企業(yè)管 理器-> 審計(jì)記錄包括日期 治理->SQL Server日志和時(shí)間、類型、主中,查看 日志記錄是否體標(biāo)識(shí)、客體標(biāo)識(shí)、包括 日期和時(shí)間、類型、事件的結(jié)果等 主題 標(biāo)識(shí)、客體標(biāo)識(shí)、c、審計(jì)記錄應(yīng)包括事 事件的結(jié)果等.件的日期、時(shí)間、類2 詢問(wèn)數(shù)據(jù)庫(kù)治理員,型、主體標(biāo)識(shí)、客 體是否采取第三方工具或標(biāo)識(shí)和結(jié)果等 其他

10、舉措增強(qiáng)SQL Server的日志功能, 如果有那么查看這些工具記錄的審計(jì)記錄 是否包括日期和時(shí)間、時(shí)間、類 4 / 7 a、審計(jì)范圍應(yīng)覆蓋到效勞器和重要客戶 端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶 平安審計(jì) 型、主題標(biāo)識(shí)、客體標(biāo)識(shí)、事 件的結(jié)果等.1詢問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)治理 能夠根據(jù)記錄數(shù)據(jù)員并檢查數(shù)據(jù)庫(kù)系 統(tǒng),進(jìn)行分析是否提供對(duì)記錄數(shù)據(jù)庫(kù) 進(jìn)行分析并生成審計(jì)報(bào)表的功能.d、應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成 審計(jì)報(bào)表2詢問(wèn)數(shù)據(jù)庫(kù)治理員,是否 采取第三方工具或其他方式增強(qiáng)SQLServer的日志功能,實(shí)現(xiàn) 根據(jù)記錄數(shù)據(jù) 進(jìn)行分析,并生成審計(jì)報(bào)表的功能,如 果提供,那么檢查并驗(yàn)證其功能是否正確. 1以非

11、授權(quán)用戶登錄數(shù)據(jù)庫(kù)e、應(yīng)保護(hù) 審計(jì)進(jìn)程,系統(tǒng),試圖改變審計(jì)配預(yù)防 受到未預(yù)期的中斷 置選項(xiàng),查看是否成 功.2如果成功,進(jìn)行一些操縱,查 看日志中是否有上述操作的記錄.1以普通用戶進(jìn)入SQL保護(hù)審計(jì)記錄,避 Server數(shù)據(jù)庫(kù)系統(tǒng),查免受到未預(yù)期的 刪f、應(yīng)保護(hù)審計(jì)記錄,預(yù)防受到未預(yù)期 的刪除、修改或覆蓋等 看能否對(duì)日志進(jìn) 行非授除、修改或覆蓋等權(quán)操作.2 詢問(wèn)系統(tǒng)治理員,對(duì) SQL Server的日志 記錄文件采取的保護(hù)舉措,并登陸系統(tǒng) 進(jìn)行驗(yàn)證.a、應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ) 空間,被釋放或再分配給其他用戶前得 到完全去除,無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中b、

12、應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的 存儲(chǔ)空間,被釋放或重新分配給其他用 戶前得剩余信息保護(hù) 5 / 7到完全去除a、應(yīng)能夠檢 測(cè)到對(duì)重要效勞器進(jìn)行入侵的行為,能 夠記錄入侵的源ip、攻擊的類型、攻擊 的目的、攻擊的時(shí)間,并在發(fā)生嚴(yán)重入 侵事件時(shí)提供報(bào)警 b、應(yīng)能夠?qū)χ匾?序此項(xiàng)無(wú)要求此項(xiàng)無(wú)要求入侵防范的完整性進(jìn)行檢測(cè),并在檢測(cè)到完整 性受到破壞后具有恢復(fù)的舉措 c、操作 系統(tǒng)應(yīng)遵循最小安裝的原那么,僅安裝需 要的組件和應(yīng)用程序,并通過(guò)設(shè)置升級(jí) 效勞器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更 新a、應(yīng)安裝防惡意代碼軟件,并及時(shí) 更新防惡意代碼軟件版本和此項(xiàng)無(wú)要求此項(xiàng)無(wú)要求惡意代碼防范惡意代碼

13、庫(kù)b、主機(jī)防惡意代碼產(chǎn)品應(yīng)具有 與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼 庫(kù) 此項(xiàng)無(wú)要求資源限制設(shè)備c、應(yīng)支持防惡意代碼 的統(tǒng)一治理1詢問(wèn)數(shù) 據(jù)庫(kù)系統(tǒng)治理員是否有保證上述平安功 能的舉措.2如果無(wú)法在SQL Server 數(shù)據(jù)庫(kù)系統(tǒng)上進(jìn)行相關(guān)的配置,那么詢問(wèn) 是否在防火墻或者其他網(wǎng)路設(shè)備上進(jìn)行 了相關(guān)的配置.b應(yīng)根據(jù)平安策略設(shè)置 登錄終端的操作超時(shí)鎖定此項(xiàng)無(wú)要求a、應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址 范圍等條件限制終端登錄設(shè)定終端接入方 式、網(wǎng)絡(luò)地址范圍等條件限制終端 登錄1詢問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)治理設(shè)置登錄 終端的操 員是否有保證上述平安作超 時(shí)鎖定 舉措.2在查詢分析器中執(zhí)行 6 / 7 命令 sp_configure ' remot