3SGISLOP-SA49-10MSSQLserver等级保护测评作业指导书二级

控制编号：SGISL/OP-SA49-10信息安全等级保护测评作业指导书MSSQL（二级）#:痴联次日改效版修生版次月

#:痴联次日改效版修生版次月

1005

第第年中国电力科学研究院信息安全实验室中国电力科学研究院信息系统安全实验室控制编号：SGISL/OP-SA49-10第1页共8页MSSQL等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA49-10树娟按公安部要求修订詹雄2010.3.8

中国电力科学研究院信息系统安全实验室控制编号：SGISL/OP-SA49-10第2页共8页MSSQL等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日测评项编号ADT-DB-MSSQL-01对应要求操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。测评项名称补丁升级测评分项：检查系统补丁安装情况操作步骤执行：1)查看SQLSezei版本信息selectserveipiopertyCEdition')selectserveipiopertyCPioductLevel')2)查看SQLServe】是否打补丁，及补丁的版本Select@@Version或者SELECTSERVERPROPERTY(,ProductVersion,)查看：版本及补丁信息询问：数据库管理员适用版本所有Sqlseiver版本数据库实施风险无符合性判定数据库系统是最新的版本，判定结果为符合；数据库系统不是最新的版本，判定结果为不符合。备注

中国电力科学研究院信息系统安全实验室控制编号：SGISL/OP-SA49-10第3页共8页MSSQL等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日测评项编号ADT-DB-MSSQL-02对应要求 数据库系统中不应使用默认的监听端口。测评项名称监听端口测评分项：检查监听端口操作步骤执行：1、在“开始”菜单中，指向”程序”,接着指向“MiciosoftSQLServed,然后单击”SQLServel网络实用工具”。2、在查询分析器中执行下列语句：UsemasterGoXp_readenorlog查看：使用的端口“SQLServer正在监听IP:端口，IP:端口。适用版本所有Sqlseiver版本数据库实施风险无符合性判定不存在默认的1433端口，判定结果为符合；存在默认的1433端口，判定结果为不符合。备注测评项编号ADT-DB-MSSQL-03对应要求应对登录操作系统和数据库系统的用户进行身份标识和鉴别。测评项名称检查WindowsSQLServe1账户中国电力科学研究院信息系统安全实验室控制编号：SGISL/OP-SA49-10第4页共8页MSSQL等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日测评分项:操作步骤执行：1）在SQL查询分析器或其他工具中执行命令：selectnamefiomsyslogins,查看用户名。适用版本Windows2000、WmdowsXP>Windows2003实施风险无符合性判定不存在多余帐户，判定结果为符合；存在多余帐户，判定结果为不符合。备注测评项编号ADT-DB-MSSQL-04对应要求应启用访问控制功能，依据安全策略控制用户对资源的访问。测评项名称程序文件权限测评分项：检查程序文件的权限分配操作步骤执行：在\?108侬11Files\MicrosoftSQLServei\Mssql\Bmn文件夹中右键，属性查看权限。询问：数据库管理员对程序文件的权限设置。适用版本Windows2000系统中的所有Sqlseiver版本数据库实施风险无符合性判定完全控制、修改、读取及运行等权限设置为允许，判定结果为符合；中国电力科学研究院信息系统安全实验室控制编号：SGISL/OP-SA49-10第5页共8页MSSQL等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日完全控制、修改、读取及运行等权限设置为拒绝，判定结果为不符合。备注测评项编号ADT-DB-MSSQL-05对应要求应启用访问控制功能，依据安全策略控制用户对资源的访问。测评项名称数据文件权限测评分项：检查SQLServe1数据文件的权限分配操作步骤执行：ft\ProgramFiles\MicrosoftSQLSensei\Mssql\Data文件夹中右键，属性查看权限。询问：数据库管理员对数据文件的权限设置。适用版本任何版本实施风险无符合性判定完全控制、修改、读取及运行等权限设置为允许，判定结果为符合；完全控制、修改、读取及运行等权限设置为拒绝，判定结果为不符合。备注测评项编号ADT-DB-MSSQL-06对应要求应严格限制默认帐户的访问权限,重命名系统默认帐户，修改这些帐户的默认口令。

中国电力科学研究院信息系统安全实验室控制编号：SGISL/OP-SA49-10第6页共8页MSSQL等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日测评项名称Sa用户测评分项：检查Sa用户操作步骤执行:在mastei库中,select*fiomsysloginswherepasswordisnull,查看有无空口令用户。询问：1）询问数据库管理员是否在安装时立刻修改sa口令。2）询问口令的管理要求（口令的长度，口令复杂性，口令更新周期）。适用版本任何版本实施风险如不能及时通知管理员新密码，可能造成临时无法管理数据库。符合性判定sa用户不存在空口令或弱口令，判定结果为符合；sa用户存在空口令或弱口令，判定结果为不符合。备注测评项编号ADT-DB-MSSQL-07对应要求应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。测评项名称示例数据库测评分项：检查示例数据库操作步骤查看：在企业管理器中，检查并记录是否删除了数据库安装时生成的示

操作步骤中国电力科学研究院信息系统安全实验室控制编号：SGISL/OP-SA49-10第7页共8页MSSQL等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日例数据库pubs和northwind0适用版本所有Sqlseiver版本数据库实施风险无符合性判定已删除示例数据库，判定结果为符合；未删除示例数据库，判定结果为不符合。备注测评项编号ADT-DB-MSSQL-08对应要求应启用访问控制功能，依据安全策略控制用户对资源的访问。测评项名称Xp_cmdshell权限测评分项：检查Xp_cmdshell权限操作步骤执行：在企业管理器--数据库--扩展存储过程--右键-所有任务-管理权限或在查询分析器中sp_helpextendedprocxp_cmdshell查看：记录xp_cmdshell的权限。适用版本所有SqlserveI版本数据库实施风险无符合性判定只将Xp_cmdshell权限授予sysadmin角色的成员，判定结果为符合；将Xp_cmdshell权限授予sysadmin角色以外的用户，判定结果为不符合。中国电力科学研究院信息系统安全实验室控制编号：SGISL/OP-SA49-10第8页共8页MSSQL等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日备注测评项编号ADT-DB-MSSQL-09对应要求当对服务器进行远程管理时，应采取必要措施,防止鉴