3SGISLOP-SA49-10MSSQLserver等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書二級(jí)

控制編號(hào)：SGISL/OP-SA49-10信息安全等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書MSSQL（二級(jí)）#:癡聯(lián)次日改效版修生版次月

#:癡聯(lián)次日改效版修生版次月

1005

第第年中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室中國(guó)電力科學(xué)研究院信息系統(tǒng)安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA49-10第1頁(yè)共8頁(yè)MSSQL等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（二級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日修改頁(yè)修訂號(hào)控制編號(hào)版號(hào)/章節(jié)號(hào)修改人修訂原因批準(zhǔn)人批準(zhǔn)日期備注1SGISL/OP-SA49-10樹娟按公安部要求修訂詹雄2010.3.8

中國(guó)電力科學(xué)研究院信息系統(tǒng)安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA49-10第2頁(yè)共8頁(yè)MSSQL等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（二級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日測(cè)評(píng)項(xiàng)編號(hào)ADT-DB-MSSQL-01對(duì)應(yīng)要求操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。測(cè)評(píng)項(xiàng)名稱補(bǔ)丁升級(jí)測(cè)評(píng)分項(xiàng)：檢查系統(tǒng)補(bǔ)丁安裝情況操作步驟執(zhí)行：1)查看SQLSezei版本信息selectserveipiopertyCEdition')selectserveipiopertyCPioductLevel')2)查看SQLServe】是否打補(bǔ)丁，及補(bǔ)丁的版本Select@@Version或者SELECTSERVERPROPERTY(,ProductVersion,)查看：版本及補(bǔ)丁信息詢問(wèn)：數(shù)據(jù)庫(kù)管理員適用版本所有Sqlseiver版本數(shù)據(jù)庫(kù)實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定數(shù)據(jù)庫(kù)系統(tǒng)是最新的版本，判定結(jié)果為符合；數(shù)據(jù)庫(kù)系統(tǒng)不是最新的版本，判定結(jié)果為不符合。備注

中國(guó)電力科學(xué)研究院信息系統(tǒng)安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA49-10第3頁(yè)共8頁(yè)MSSQL等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（二級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日測(cè)評(píng)項(xiàng)編號(hào)ADT-DB-MSSQL-02對(duì)應(yīng)要求 數(shù)據(jù)庫(kù)系統(tǒng)中不應(yīng)使用默認(rèn)的監(jiān)聽端口。測(cè)評(píng)項(xiàng)名稱監(jiān)聽端口測(cè)評(píng)分項(xiàng)：檢查監(jiān)聽端口操作步驟執(zhí)行：1、在“開始”菜單中，指向”程序”,接著指向“MiciosoftSQLServed,然后單擊”SQLServel網(wǎng)絡(luò)實(shí)用工具”。2、在查詢分析器中執(zhí)行下列語(yǔ)句：UsemasterGoXp_readenorlog查看：使用的端口“SQLServer正在監(jiān)聽I(yíng)P:端口，IP:端口。適用版本所有Sqlseiver版本數(shù)據(jù)庫(kù)實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定不存在默認(rèn)的1433端口，判定結(jié)果為符合；存在默認(rèn)的1433端口，判定結(jié)果為不符合。備注測(cè)評(píng)項(xiàng)編號(hào)ADT-DB-MSSQL-03對(duì)應(yīng)要求應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別。測(cè)評(píng)項(xiàng)名稱檢查WindowsSQLServe1賬戶中國(guó)電力科學(xué)研究院信息系統(tǒng)安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA49-10第4頁(yè)共8頁(yè)MSSQL等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（二級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日測(cè)評(píng)分項(xiàng):操作步驟執(zhí)行：1）在SQL查詢分析器或其他工具中執(zhí)行命令：selectnamefiomsyslogins,查看用戶名。適用版本W(wǎng)indows2000、WmdowsXP>Windows2003實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定不存在多余帳戶，判定結(jié)果為符合；存在多余帳戶，判定結(jié)果為不符合。備注測(cè)評(píng)項(xiàng)編號(hào)ADT-DB-MSSQL-04對(duì)應(yīng)要求應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)。測(cè)評(píng)項(xiàng)名稱程序文件權(quán)限測(cè)評(píng)分項(xiàng)：檢查程序文件的權(quán)限分配操作步驟執(zhí)行：在\?108儂11Files\MicrosoftSQLServei\Mssql\Bmn文件夾中右鍵，屬性查看權(quán)限。詢問(wèn)：數(shù)據(jù)庫(kù)管理員對(duì)程序文件的權(quán)限設(shè)置。適用版本W(wǎng)indows2000系統(tǒng)中的所有Sqlseiver版本數(shù)據(jù)庫(kù)實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定完全控制、修改、讀取及運(yùn)行等權(quán)限設(shè)置為允許，判定結(jié)果為符合；中國(guó)電力科學(xué)研究院信息系統(tǒng)安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA49-10第5頁(yè)共8頁(yè)MSSQL等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（二級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日完全控制、修改、讀取及運(yùn)行等權(quán)限設(shè)置為拒絕，判定結(jié)果為不符合。備注測(cè)評(píng)項(xiàng)編號(hào)ADT-DB-MSSQL-05對(duì)應(yīng)要求應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)。測(cè)評(píng)項(xiàng)名稱數(shù)據(jù)文件權(quán)限測(cè)評(píng)分項(xiàng)：檢查SQLServe1數(shù)據(jù)文件的權(quán)限分配操作步驟執(zhí)行：ft\ProgramFiles\MicrosoftSQLSensei\Mssql\Data文件夾中右鍵，屬性查看權(quán)限。詢問(wèn)：數(shù)據(jù)庫(kù)管理員對(duì)數(shù)據(jù)文件的權(quán)限設(shè)置。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定完全控制、修改、讀取及運(yùn)行等權(quán)限設(shè)置為允許，判定結(jié)果為符合；完全控制、修改、讀取及運(yùn)行等權(quán)限設(shè)置為拒絕，判定結(jié)果為不符合。備注測(cè)評(píng)項(xiàng)編號(hào)ADT-DB-MSSQL-06對(duì)應(yīng)要求應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令。

中國(guó)電力科學(xué)研究院信息系統(tǒng)安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA49-10第6頁(yè)共8頁(yè)MSSQL等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（二級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日測(cè)評(píng)項(xiàng)名稱Sa用戶測(cè)評(píng)分項(xiàng)：檢查Sa用戶操作步驟執(zhí)行:在mastei庫(kù)中,select*fiomsysloginswherepasswordisnull,查看有無(wú)空口令用戶。詢問(wèn)：1）詢問(wèn)數(shù)據(jù)庫(kù)管理員是否在安裝時(shí)立刻修改sa口令。2）詢問(wèn)口令的管理要求（口令的長(zhǎng)度，口令復(fù)雜性，口令更新周期）。適用版本任何版本實(shí)施風(fēng)險(xiǎn)如不能及時(shí)通知管理員新密碼，可能造成臨時(shí)無(wú)法管理數(shù)據(jù)庫(kù)。符合性判定sa用戶不存在空口令或弱口令，判定結(jié)果為符合；sa用戶存在空口令或弱口令，判定結(jié)果為不符合。備注測(cè)評(píng)項(xiàng)編號(hào)ADT-DB-MSSQL-07對(duì)應(yīng)要求應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施。測(cè)評(píng)項(xiàng)名稱示例數(shù)據(jù)庫(kù)測(cè)評(píng)分項(xiàng)：檢查示例數(shù)據(jù)庫(kù)操作步驟查看：在企業(yè)管理器中，檢查并記錄是否刪除了數(shù)據(jù)庫(kù)安裝時(shí)生成的示

操作步驟中國(guó)電力科學(xué)研究院信息系統(tǒng)安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA49-10第7頁(yè)共8頁(yè)MSSQL等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（二級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日例數(shù)據(jù)庫(kù)pubs和northwind0適用版本所有Sqlseiver版本數(shù)據(jù)庫(kù)實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定已刪除示例數(shù)據(jù)庫(kù)，判定結(jié)果為符合；未刪除示例數(shù)據(jù)庫(kù)，判定結(jié)果為不符合。備注測(cè)評(píng)項(xiàng)編號(hào)ADT-DB-MSSQL-08對(duì)應(yīng)要求應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)。測(cè)評(píng)項(xiàng)名稱Xp_cmdshell權(quán)限測(cè)評(píng)分項(xiàng)：檢查Xp_cmdshell權(quán)限操作步驟執(zhí)行：在企業(yè)管理器--數(shù)據(jù)庫(kù)--擴(kuò)展存儲(chǔ)過(guò)程--右鍵-所有任務(wù)-管理權(quán)限或在查詢分析器中sp_helpextendedprocxp_cmdshell查看：記錄xp_cmdshell的權(quán)限。適用版本所有SqlserveI版本數(shù)據(jù)庫(kù)實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定只將Xp_cmdshell權(quán)限授予sysadmin角色的成員，判定結(jié)果為符合；將Xp_cmdshell權(quán)限授予sysadmin角色以外的用戶，判定結(jié)果為不符合。中國(guó)電力科學(xué)研究院信息系統(tǒng)安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA49-10第8頁(yè)共8頁(yè)MSSQL等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（二級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日備注測(cè)評(píng)項(xiàng)編號(hào)ADT-DB-MSSQL-09對(duì)應(yīng)要求當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施,防止鑒