7SQL-Server2000测评指导书-三级S3A3G3-1.0-版

公安部信息安全等级保护评估中心PAGE第8页共8页序号类别测评项测评实施预期结果说明身份鉴别a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；1）展开服务器组，编辑SQLServer注册属性，查看身份认证方式；或者2）直接登录SQLServer企业管理器，试图连接数据库，查看系统是否出现用户和密码的输入框。1）选中“使用SQLServer身份认证”，并且选中“总是提示输入用户名和密码”。2）提示用户输入密码。应避免操作系统管理员对数据库系统进行直接管理。b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；1）询问是否在安装时立刻修改sa口令，用该用户和常见密码试图登录数据库系统，查看是否成功。2）在SQL查询分析器中执行命令：

usemaster

select*fromsysloginswherepasswordisnull

查看是否有空口令用户。

3）询问口令的管理要求，如口令的长度、口令复杂性和口令更新周期等方面的管理要求。1）sa用户的口令不是常见口令。2）无空口令用户。3）口令管理制度规定口令设置的复杂度要求，至少包括：字符数字混合、长度不低于8位。SQLServer2000未提供技术手段来强制要求口令的复杂性，因此，只能通过管理手段来进行强化用户口令的复杂性。c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；1）访谈系统管理员，了解是否采取第三方工具实现该功能。1）如果没有采用第三方工具或对SQLServer2000安全功能进行增强，则该项要求为不符合。SQLServer2000默认没有提供登录失败处理功能。d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；1）询问是否能对数据库进行远程管理；2）在服务器网络实用工具中查看是否启用“强制协议加密(C)”。如果能够对数据库进行远程管理，则应选中“强制协议加密(C)”，并对其进行配置。SQLServer2000提供SSL方式对数据进行加密传输。e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。1）在SQL查询分析器中执行命令：

usemaster

selectnamefromsyslogins，针对查询出的账户列表，询问每个账号的使用用户。无多人共用同一个账号的情况。SQLServer默认不存在相同用户名的用户，但应防止多人使用同一个账号。f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。1）询问数据库的身份鉴别方式，是否使用其他鉴别技术。

2）如果使用其他技术，则查看该技术的实现情况。应加强对操作系统用户的管理来强化数据库安全。SQLServer2000不能集成其它身份鉴别措施，只能通过“操作系统+数据库”的方式共同对数据库进行保护。访问控制a)应启用访问控制功能，依据安全策略控制用户对资源的访问；1）在“企业管理器”-〉“安全性”中，选中每个登录用户，在右键菜单中选择“属性”，查看是否为每个用户指定了角色和能够对每个数据库的访问权限。为每个登录用户指定了角色，并限定了每个角色的访问权限。b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；1）在“企业管理器”-〉“安全性”中，选中每个登录用户，在右键菜单中选择“属性”，查看每个登录用户的角色和权限，是否是该管理用户所需的最小权限。为每个登录用户授予所需的最小权限。1）应特别关注应用系统所使用的数据库账号的权限；2）原则上应为每个业务数据库指定一个单独的管理员，该管理员只能对该数据库进行操作。c)应实现操作系统和数据库系统特权用户的权限分离；1）询问并查看除sa外，是否还有其他的特权用户，他们的权限是否实现了分离。应将系统管理、安全管理和业务操作等权限分配给不同的账号。尽量不以sa用户对数据库进行管理，这个用户的权限太大，而应以其他的安全管理和系统管理权限用户对数据库进行管理。在SQLServer2000中，没有审计记录的管理人员，系统管理人员也不能删除日志记录，日志分成不同的日志文件，日志文件的安全性是由操作系统用户进行管理，因此，应尽量将日志记录放置在一个独立的服务器上。d)应严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；1）询问并验证sa用户的密码是否是空口令或弱口令；

2）现场让用户登录一次进行测试，验证用户的密码是否与描述一致。管理用户sa的密码不是空口令和弱口令。由于不能重命名或删除管理员sa，因此，应加强sa用户的口令管理。e)应及时删除多余的、过期的账户，避免共享账户的存在。1）在SQL查询分析器中执行命令：

usemaster

selectnamefromsyslogins

查看是否存在多余的、过期的账户。不存在多余的、过期的账户。f)应对重要信息资源设置敏感标记；1）访谈系统管理员，了解是否实现了该功能，具体措施是什么。如果没有采取任何措施，则该项要求为不符合。在SQLServer2000不提供该功能。g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；1）访谈系统管理员，了解是否实现了该功能，具体措施是什么。如果没有采取任何措施，则该项要求为不符合。在SQLServer2000不提供该功能。安全审计a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；1）在“企业管理器”-〉右键单击注册名称-〉点击“属性”-〉“安全性”，查看审核级别。

2）访谈数据库管理员，了解是否采取第三方工具增强SQLServer的日志功能。审核级别为“全部”。1）SQLServer2000默认审核级别为“无”；2）SQLServer2000提供的审计功能较弱，尽可能采取第三方的审计产品实现数据库的审计功能。b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；1）访谈数据库数据库管理员，了解是否采取第三方工具增强SQLServer的日志功能。2）如果有第三方工具，则查看审计内容是否包括重要用户行为、系统资源的异常使用和重要系统命令的使用等。有第三方工具且审计内容包括用户登录、对数据的增删改、系统资源的异常使用等。SQLServer自身的日志功能不能满足要求，SQLServer2000自身提供的日志记录没有对登录事件进行记录。c)审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等；1）访谈数据库数据库管理员，了解是否采取第三方工具增强SQLServer的日志功能。2）如果有第三方工具，则查看审计记录内容是否包括日期和时间、类型、主体标识、客体标识、事件的结果等。有第三方工具且审计记录内容包括日期和时间、类型、主体标识、客体标识、事件的结果等。SQLServer自身的日志功能不能满足要求，SQLServer2000默认的日志记录仅记录包括：日期、时间、源（不包括IP地址）、消息。d)应能够根据记录数据进行分析，并生成审计报表；1）访谈数据库管理员，了解是否采取第三方工具增强SQLServer的日志功能。2）如果有第三方工具，则查看其是否能够根据记录数据进行分析并生成审计报表。有第三方工具且能够根据记录数据进行分析并生成审计报表。SQLServer自身的日志功能不能满足要求。SQLServer2000提供的日志功能不能对日志进行分析。e)应保护审计进程，避免受到未预期的中断；默认符合默认符合f)应保护审计记录，避免受到未预期的删除、修改或覆盖等；1）访谈操作系统管理员，了解对SQLServer2000的日志记录采取的保护措施。操作系统提供相关保护措施，不能被非授权破坏；通过备份审计记录文档避免未预期的覆盖。审计记录文档仅授权用户才能具有相关管理权限。剩余信息保护a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具提供了相应功能。如果测试报告、用户手册或管理手册中没有相关描述，且没有提供第三方工具增强该功能，则该项要求为不符合。b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具提供了相应功能。如果测试报告、用户手册或管理手册中没有相关描述，且没有提供第三方工具增强该功能，则该项要求为不符合。入侵检测a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；N/Ab)应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；N/Ac)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。1）访谈数据库管理员，了解是否安装了不必要的服务和组件，是否及时升级系统补丁。1）系统采取最小安装原则，对于SQLServer2000应及时进行升级，至少安装补丁SP4。资源控制a)应通过设定终端接入方式、网络地址范围等条件限制终端登录；1）访谈数据库管理员，了解采取什么方式限制终端登录数据库管理系统。通过防火墙或其他方式限制终端登录数据库管理系统。1)如果没有采用第三方工具或对SQLServer2000进行开发，则该项功能不满足。b)应根据安全策略设置登录终端的操作超时锁定；1）在SQL查询分析器中执行命令sp_configure'remotelogintimeout(s)'，查看是否设置了超时时间。设置了超时时间。1)SQLServer数据库默认设置是20s超时断开。c)应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；1）访谈数据库管理员，了解是否对数据库管理系统的日志空间、进程等进行监控。提供第三方监控软件等方式，对数据库管理系统的日志空间、进程等进行监控。d)应限制单个用户对系统资源的最大或最小使用限度；1）访谈系统管理员，了解是否采取第三方工具实现该功能。1）如果不存在资源争夺情况，则该项要求为不适用；2）如果存在资源争夺情况且没有采取其他措施实现该要求，则该项要求为不符合。1)如果没有采用第三方工具或对SQLServer2000进行开发，则该项功能不满足。e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。N/A备份与恢复a)应提供数据本地备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；1）访谈系统管理员了解数据库的备份和恢复策略。2）检查数据库配置，查看备份与恢复方面的配置措施，如果是通过SQLServer的