Microsoft SQL Server安全配置基线.doc

SQL Server 数据库系统安全配置基线 中国移动通信有限公司第 1 页 共 10 页 MicrosoftMicrosoft SQLSQL ServerServer 数据库系数据库系 统安全配置基线统安全配置基线 中国移动通信公司中国移动通信公司 管理信息系统部管理信息系统部 2009 年 3 月 SQL Server 数据库系统安全配置基线 中国移动通信有限公司第 2 页 共 10 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 SQL Server 数据库系统安全配置基线 中国移动通信有限公司第 3 页 共 10 页 目目 录录 第第 1 章章概述概述 4 1 1适用范围 4 1 2适用版本 4 1 3实施 4 1 4例外条款 4 第第 2 章章账号与口令账号与口令 5 2 1口令安全 5 2 1 1删除不必要的账号 5 2 1 2SQLServer 用户口令安全 5 第第 3 章章日志日志 7 3 1日志审计 7 3 1 1SQLServer 登录审计 7 3 1 2SQLServer 安全事件审计 7 第第 4 章章其他其他 9 4 1安全策略 9 4 1 1通讯协议安全策略 9 4 2更新补丁 9 4 2 1补丁要求 9 第第 5 章章评审与修订评审与修订 10 SQL Server 数据库系统安全配置基线 中国移动通信有限公司第 4 页 共 10 页 第第 1 章章概述概述 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 SQL Server 数据 库应当遵循的数据库安全性设置标准 本文档旨在指导系统管理人员或安全检查人员进行 SQL Server 数据库的安全合规性检查和配置 1 1 适用范围适用范围 本配置标准的使用者包括 数据库管理员 应用管理员 网络安全管理员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 SQL Server 数据库系统 1 2 适用版本适用版本 SQL Server 系列数据库 1 3 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 4 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 SQL Server 数据库系统安全配置基线 中国移动通信有限公司第 5 页 共 10 页 第第 2 章章账号与口令账号与口令 2 1 口令安全口令安全 2 1 1 删除不必要的账号删除不必要的账号 安全基线项安全基线项 目名称目名称 数据库管理系统 SQLServer 用户安全基线要求项 安全基线安全基线 SBL SQLServer 02 01 01 安全基线项安全基线项 说明说明 应删除与数据库运行 维护等工作无关的账号 检测操作步检测操作步 骤骤 1 参考配置操作 SQL SERVER 企业管理器 安全性 登陆中删除无关帐号 SQL SERVER 企业管理器 数据库 对应数据库 用户中删除无关帐号 基线符合性基线符合性 判定依据判定依据 首先删除不需要的用户 已删除数据库不能登陆使用 在 MS SQL SERVER 查询分析器的登陆界面中使用已删除帐号登陆 备注备注 2 1 2 SQLServer 用户口令安全用户口令安全 安全基线项安全基线项 目名称目名称 数据库管理系统 SQLServer 用户口令安全基线要求项 安全基线安全基线 SBL SQLServer 02 01 02 安全基线项安全基线项 说明说明 对用户的属性进行安全检查 包括空密码 密码更新时间等 修改目前所有 账号的口令 确认为强口令 特别是 sa 账号 需要设置至少 10 位的强口 令 检测操作步检测操作步 骤骤 1 检查 password 字段是否为 null 2 参考配置操作 查看用户状态 SQL Server 数据库系统安全配置基线 中国移动通信有限公司第 6 页 共 10 页 运行查询分析器 执行 select from sysusers Select name Password from syslogins where password is null order by name 查 看口令为空的用户 基线符合性基线符合性 判定依据判定依据 password 字段不为 null 备注备注 SQL Server 数据库系统安全配置基线 中国移动通信有限公司第 7 页 共 10 页 第第 3 章章日志日志 3 1 日志审计日志审计 3 1 1 SQLServer 登录审计登录审计 安全基线项安全基线项 目名称目名称 数据库管理系统 SQLServer 登录审计安全基线要求项 安全基线编安全基线编 号号 SBL SQLServer 03 01 01 安全基线项安全基线项 说明说明 数据库应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用 的账号 登录是否成功 登录时间 检测操作步检测操作步 骤骤 打开数据库属性 选择安全性 将安全性中的审计级别调整为 全部 基线符合性基线符合性 判定依据判定依据 登录成功和失败测试 检查相关信息是否被记录 备注备注 3 1 2 SQLServer 安全事件审计安全事件审计 安全基线项安全基线项 目名称目名称 数据库管理系统 SQLServer 安全事件审计安全基线要求项 安全基线编安全基线编 号号 SBL SQLServer 03 01 02 安全基线项安全基线项 说明说明 数据库应配置日志功能 记录对与数据库相关的安全事件 检测操作步检测操作步 骤骤 打开企业管理器 查看数据库 管理 中的 SQL Server 日志 查看当前 的日志记录和存档的日志记录是否包含相关数据库安全事件 1 参考配置操作 数据库默认开启日志记录 2 补充操作说明 增加帐号登陆审计 打开数据库属性 选择安全性 将安全性中的审计级别 调整为 全部 基线符合性基线符合性SQL Server 日志中是否存在数据库相关事件日志信息 SQL Server 数据库系统安全配置基线 中国移动通信有限公司第 8 页 共 10 页 判定依据判定依据 备注备注 SQL Server 数据库系统安全配置基线 中国移动通信有限公司第 9 页 共 10 页 第第 4 章章其他其他 4 1 安全策略安全策略 4 1 1 通讯协议安全策略通讯协议安全策略 安全基线项安全基线项 目名称目名称 数据库管理系统 SQLServer 通讯协议安全基线要求项 安全基线编安全基线编 号号 SBL SQLServer 04 01 01 安全基线项安全基线项 说明说明 使用通讯协议加密 检测操作步检测操作步 骤骤 1 参考配置操作 启动服务器网络配置工具 查看 常规 设置 基线符合性基线符合性 判定依据判定依据 常规 设置为 强制协议加密 4 2 更新补丁更新补丁 4 2 1 补丁要求补丁要求 安全基线项安全基线项 目名称目名称 数据库管理系统 SQLServer 补丁安全基线要求项 安全基线编安全基线编 号号 SBL SQLServer 04 02 01 安全基线项安全基线项 说明说明 为系统打最新的补丁包 检测操作步检测操作步 骤骤 检查当前所有已安装的数据库产品的版本信息 运行 SQL 查询分析器 执 行 select version 安装补丁详细操作请参照其中的 readme 文件 基线符合性基线符合性 判定依据判定依据 确保 SQL Server 的补丁为最新的 下载并安装最新的补丁 对于如下 SQL Server2000 的版本相应的补丁号是必须的 8 00 194 SQL Server 2000