Sybase ASE数据库安全检查方案.doc

双网双平面配置指导书 技 术 文 件技术文件名称：Sybase ASE安全检查方案 技术文件编号： 版 本：V1.0 文件质量等级：共8页(包括封面) 拟 制 审 核 会 签 标准化 批 准 中兴通讯股份有限公司第 5 页 共 22 页 内部公开修改记录文件编号版本号拟制人/修改人拟制/修改日期更改理由主要更改内容（写要点即可）1.0王华刚2009/07/16无无注1：每次更改归档文件（指归档到事业部或公司档案室的文件）时，需填写此表。注2：文件第一次归档时，“更改理由”、“主要更改内容”栏写“无”。Sybase ASE安全检查方案目录(包括封面)1修改记录21概述4内部适用性说明4外部引用说明4术语和定义4符号和缩略语42Sybase ASE安全检查操作指导52.1ZTE-ASE-S01检查帐号加固52.1.1ZTE-ASE-SM01-01检查数据库帐号52.1.2ZTE-ASE-SM01-02检查操作系统Sybase组中只有sybase用户52.1.3ZTE-ASE-SH01-03检查默认密码是否修改52.1.4ZTE-ASE-SH01-04检查是否存在空密码帐号62.1.5ZTE-ASE-SH01-05检查强制使用强密码配置62.1.6ZTE-ASE-SL01-06检查口令生存期配置62.1.7ZTE-ASE-SL01-07检查连续登录失败锁定帐号配置62.1.8ZTE-ASE-SM01-08限制仅允许sa访问数据字典72.2ZTE-ASE-S02检查审计配置72.2.1ZTE-ASE-SL02-01检查是否打开审计72.3ZTE-ASE-S03数据库连接安全72.3.1ZTE-ASE-SH03-01检查访问数据库白名单配置72.4ZTE-ASE-S04检查日志配置72.4.1ZTE-ASE-SM04-01检查登录日志配置72.5ZTE-ASE-S05检查数据库版本82.5.1ZTE-ASE-SM05-01检查数据库版本8Sybase ASE安全检查方案1 概述内部适用性说明本方案是在业务研究院网络安全规范中各项要求的基础上，提出Sybase ASE安全检查方案。外部引用说明中国移动设备通用安全功能和配置规范中国移动数据库设备安全功能规范Sybase ASE基本加固方案术语和定义符号和缩略语缩写英文描述中文描述本文件中的字体标识如下：蓝色斜体 在具体执行时需要替换的内容检查/加固项编码意义如下：公司名称-数据库-条目性质 风险级别 数字编号-小项数字编号条目性质中：S意为检查；E意为加固风险级别中：H意为高风险；M意为中等风险；L意为低风险，风险级别仅存于具体条目中约定：没有特别说明的情况下，本文档中的SQL语句和Sybase ASE命令均为使用sa登录执行2 Sybase ASE安全检查操作指导2.1 ZTE-ASE-S01检查帐号加固2.1.1 ZTE-ASE-SM01-01检查数据库帐号执行语句：exec sp_helpdbuse每一个存在的database，然后执行sp_helpuser语句，以master为例：use mastersp_helpuser将输出内容填入下表：输出内容为：Database_nameUsers_nameGroup_nameLogin_name2.1.2 ZTE-ASE-SM01-02检查操作系统Sybase组中只有sybase用户操作期望输出是否满足检查操作系统/etc/groups文件，确定sybase组id检查操作系统/etc/passwd文件，检查用户组id 确认组id等于sybase组id的用户只有sybase2.1.3 ZTE-ASE-SH01-03检查默认密码是否修改如果有以下用户，请检查是否修改了默认密码用户名默认密码注释mon_usermon_userDefault Monitor Server AccountsybmailUser definedCreated when the Sybase Mail Service is installeddbaSQLCreated with Enterprise Portal Express EditionentldbdbodbopswdCreated with Database Access ControlentldbreaderrdrpswdCreated with Database Access ControljagadminNULL PasswordCreated with Enterprise Portal Application ServerPIAdminPIAdminCreated with Enterprise Portal Application ServerpkiuserpkipasswdEnterprise PortalPortalAdminsybaseEnterprise Portalpso123qweEnterprise Portal2.1.4 ZTE-ASE-SH01-04检查是否存在空密码帐号操作期望输出是否满足执行SQL语句：select name from syssrvroles where password = NULL无记录2.1.5 ZTE-ASE-SH01-05检查强制使用强密码配置操作期望输出是否满足执行语句：sp_configure minimum password lengthConfig Value和Run Value均为8执行语句：sp_configure check password for digitConfig Value和Run Value均为12.1.6 ZTE-ASE-SL01-06检查口令生存期配置操作期望输出是否满足执行语句：sp_configure password expiration intervalConfig Value和Run Value均为902.1.7 ZTE-ASE-SL01-07检查连续登录失败锁定帐号配置操作期望输出是否满足执行语句：sp_configure maximum failed logins,Config Value和Run Value均为52.1.8 ZTE-ASE-SM01-08限制仅允许sa访问数据字典操作期望输出是否满足执行语句：sp_configure allow update to system tablesConfig Value和Run Value均为02.2 ZTE-ASE-S02检查审计配置2.2.1 ZTE-ASE-SL02-01检查是否打开审计操作期望输出是否满足执行语句：exec sp_configure auditingConfig Value和Run Value均为12.3 ZTE-ASE-S03数据库连接安全2.3.1 ZTE-ASE-SH03-01检查访问数据库白名单配置操作期望输出是否满足执行语句：exec sp_displaylogin loginname 输出中存在：Auto Login Script: login_trgLoginname为需要检查的登录名，比如sa，zxin10等2.4 ZTE-ASE-S04检查日志配置2.4.1 ZTE-ASE-SM04-01检查登录日志配置操作期望输出是否满足执行语句：exec sp_configure log audit logon failureConfig Value和Run Value均为1执行语句：exec sp_configure