欢迎来到中国文库网! | 帮助中心 分享价值,成长自我!
中国文库网
全部分类
  • 实用文档 >
    实用文档
    求职/职场 PPT模板库 总结/汇报/计划 主持/演讲稿/致辞/ 思想汇报/心得体会 规章制度 调研述职 学习专题 行政公文 合同协议 方案/研究报告 说明文档 其它范文模版
  • 专业资料 >
    专业资料
    经管营销 IT/计算机 工程科技 人文社科 自然科学 医药卫生 农林牧渔
  • 教育资料 >
    教育资料
    幼儿教育 小学教育 初中教育 高中教育 职业教育 成人教育 高等教育 其它教育资料
  • 资格认证/考试 >
    资格认证/考试
    公务员考试 成考 自考 专升本考试 教师资格考试 司法考试 微软认证 思科认证 注册会计师 全国翻译资格认证 医师/药师资格考试 会计职称考试 报关员资格考试 人力资源管理师 安全工程师考试 出国培训 资产评估师考试 技工类职业技能考试 银行从业资格 计算机等级考试 营养师认证 物流师考试 证券从业资格考试 注册税务师 理财规划师 建筑师考试 质量管理体系认证 建造师考试 英语四六级 英语专业四八级 GRE 雅思/LSAT 托福 其它
  • 学术论文/大学论文 >
    学术论文/大学论文
    毕业论文 期刊/会议论文 管理论文 社科论文 文学论文 开题报告 经济论文 法律论文 医学论文 哲学论文 艺术论文 通讯论文 自然科学论文 论文指导/设计 其它论文
  • 生活休闲专区 >
    生活休闲专区
    饮食 游戏 体育/运动 音乐 旅游购物 娱乐时尚 美容化妆 家具家电 社会民生 影视/动漫 保健养生 随笔 摄影摄像 幽默滑稽 综合/其它
  • 首页 中国文库网 > 资源分类 > DOC文档下载

    SQL SERVER现场测评记录表.doc

    • 资源大小:82.50KB        全文页数:7页
    • 资源格式: DOC        下载权限:游客/注册会员/VIP会员    下载费用:1金币 【人民币1元】
    游客快捷下载 游客一键下载
    会员登录下载
    下载资源需要1金币 【人民币1元】

    邮箱/手机:
    温馨提示:
    支付成功后,系统会根据您填写的邮箱或者手机号作为您下次登录的用户名和密码(如填写的是手机,那登陆用户名和密码就是手机号),方便下次登录下载和查询订单;
    特别说明:
    请自助下载,系统不会自动发送文件的哦;
    支付方式: 微信支付    支付宝   
    验证码:   换一换

          加入VIP,免费下载资源
     
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,既可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰   

    SQL SERVER现场测评记录表.doc

    深圳市信息安全测评中心 第 1 页 共 7 页项目编号SISITEC(DC)**SQL SERVER 测评现场记录表2010 年 月深圳市信息安全测评中心 第 2 页 共 7 页1.测评对象2.入场确认3.离场确认对象名称及 IP 地址 备注序号 确认内容1 测评对象中的关键数据已备份。如果没有备份则不进行核查。2 测评对象工作正常。如工作异常则不进行核查。开始时间 确认签字序号 确认内容1 测评工作未对测评对象造成不良影响,测评对象工作正常。结束时间 确认签字深圳市信息安全测评中心 第 3 页 共 7 页4.测评记录序号类别 测评内容 测评方法示例 结果记录符合情况1 a)应对登陆操作系统和数据库系统的用户进行身份标识和鉴别;1)展开服务器组,右键点击服务器-在弹出的右键菜单中点击“属性” ,在“安全性”选项卡中查看“身份验证”认证方式是否为“SQL Server 和 Windows”;2)以企业管理器的方式登录 SQL Server 数据库,查看是否提示输入用户密码。2 b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;1)询问是否在安装时立刻修改 sa 口令。在 master 库中,select * from syslogins where password is null,查看有无空口令用户。2)询问数据库管理员,SQL Server 数据库的口令管理要求(口令的长度,口令复杂性,口令更新周期) 。3 c)应启用登陆失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;1)使用 sp_configure 查看有无鉴别失败和超时等方面的设置。2)询问数据库管理员是否采取其他措施保证上述安全功能的实现。4 d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。1)询问数据库管理员,是否配置了 SQL Server,保证数据进行加密传输。2)在服务器网络实用工具中查看是否启用“强制协议密码” 。5e应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;询问数据库管理员,是否为不同的用户分配不同的用户名。6身份鉴别f应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。1)询问数据库的身份鉴别方式,是否使用其他鉴别技术。2)如果使用其他技术,这查看该技术的实现情况。1 访 a应启用访问控制功能,依据安全策略控 1)在 SQL Server Enterprise Manager 的安全性管理中查看深圳市信息安全测评中心 第 4 页 共 7 页序号类别 测评内容 测评方法示例 结果记录符合情况制用户对资源的访问; 系统管理员是否为每个登录用户分配限制了服务器角色。2)查看 SQL Server 数据库是否为角色限定了权限,权限的覆盖范围是否包括与信息安全直接相关的主体(如用户)和客体(如文件,数据库表等)及它们之间的操作(如读、写或执行) 。2b应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;在“企业管理器”-“安全性”中,选中每个登录用户,在右键菜单中选择“属性” ,查看每个登录用户的角色和权限,是否是该用户所需的最小权限。3 c应实现操作系统和数据库系统特权用户的权限分离;询问并查看除系统管理员 SA 外,是否还有其他的特权用户,是否将系统管理、安全管理和业务数据管理分配给不同的管理员。4d应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;1)询问数据库系统管理员,是否加强了 SA 的口令强度,并让管理员登录数据库系统进行口令验证。2)查看 public 的权限,们是否严格限制 public 的权限。3)查看是否有 guest 账户,是否严格限制 guest 的权限。5 e应及时删除多余的、过期的账户,避免共享账户的存在; 在 SQL 查询分析器中执行命令select name from syslogins,询问并查看是否存在多余的、过期的账户。6 f应对重要信息资源设置敏感标记; 询问系统管理员,是否实现了该功能,具体措施是什么。7问控制g应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。询问系统管理员,是否实现了该功能,具体措施是什么。1安全审计a审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;1)在“企业管理器”-右键点击注册名称 -点击“属性”-“安全性” ,查看每个注册的“审核级别”是否为“全部” 。2)询问数据库管理员,是否采取第三方工具或其他措施深圳市信息安全测评中心 第 5 页 共 7 页序号类别 测评内容 测评方法示例 结果记录符合情况增强 SQL Server 的日志功能。3)用不同的用户登录数据库系统并进行不同的操作,在SQL Server 数据库中查看日志记录。2b审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;1) 在“企业管理器”-右键单击注册名称-点击“属性”-“安全性” ,查看每个注册的“审核级别”是否为“全部” 。2)询问数据库管理员,是否采取第三方工具或其他措施增强 SQL Server 的日志功能。3)在 SQL Server 数据库中的日志记录,是否包括重要用户行为(如登录系统、增加/删除用户等) 、系统资源异常和重要系统命令的使用(如 XP_CMDSHELL 存储过程)的日志记录。3 c审计记录应包括时间的日期、时间、类型、主体标识、客体标识和结果等;1)在企业管理器-管理-SQL Server 日志中,查看日志记录,是否包括日期和时间、类型、主体标识(如用户名等) 、客体标识(如数据库表、字段或记录等) 、事件的结果等。2)询问数据库管理员,是否采取第三方工具或其他方式增强 SQL Server 的日志功能。4 d应能够根据记录数据进行分析,并生成审计报表;1)询问并检查数据库系统,是否提供对记录数据进行分析并生成审计报表的功能。2)询问数据库管理员,是否采取第三方工具或其他方式增强 SQL Server 的日志功能,实现“记录数据进行分析,并生成审计报表”的功能,如果提供,这检查并验证其功能是否正确。5 e应保护审计进程,避免受到未预期的中断;1)以非授权用户(没有审计权限)登录数据库系统,试图改变审计配置选项。2)如果成功,进行一些操作(如登录系统、新建数据深圳市信息安全测评中心 第 6 页 共 7 页序号类别 测评内容 测评方法示例 结果记录符合情况库等) ,查看日志中是否有上述操作的记录。6 f应保护审计记录,避免受到未预期的删除、修改或覆盖等;1)以普通用户进入 SQL Server 数据库系统,查看能否对日志进行非授权操作。2)询问系统管理员,对 SQL Server 的日志记录文件采取的保护措施。1 a应通过设定终端接入方式、网络地址范围等条件限制终端登录;1)询问数据库系统管理员是否有保证上述安全功能的措施,如果有,是如何实现的。2)如果无法在 SQL Server 数据库系统上进行相关的配置,则询问是否在防火墙或者其他网络设备(包括安全设备)上进行了相关的配置。2 b应根据安全策略设置登录终端的操作超时锁定;1)询问数据库系统管理员是否有保证上述安全功能的措施,如果有,是如何实现的。2)在 SQL 查询分析器中执行命令 sp_configure ‘remote login timeout’,查看是否设置了超时时间。3在企业管理器中,选择菜单上的“工具“,再选择“选项“ ,在弹出的“SQL Server 企业管理器属性“窗口中,点击“高级“选项卡,查看在“连接设置“下的“登录超时(秒)“ 的数值;3资源控制c应限制单个用户对系统资源的最大或最小使用限度。1)询问数据库系统管理员是否有保证上述安全功能的措施(包括通过第三方工具或增强功能实现) ,如果有,是如何实现的。2)如果条件允许,则验证其功能是否有效。1备份和恢复a)应提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;1)询问系统管理员数据库的备份和恢复策略是什么,查看是否达到上述要求。2)如果是通过 SQL Server 的自动备份功能进行备份的,则应查看其 SQL Server Agent 服务是否启动,定制的备份策略是否与管理员回答的一致。深圳市信息安全测评中心 第 7 页 共 7 页序号类别 测评内容 测评方法示例 结果记录符合情况2 b应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地。1)询问系统管理员是否提供异地数据备份功能,是否定时批量传送至备用场地。2)如果条件允许,则查看其实现技术措施的配置情况。

    注意事项

    本文(SQL SERVER现场测评记录表.doc)为本站会员(520AC)主动上传,中国文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知中国文库网(发送邮件至[email protected]或直接QQ联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。

    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

    [email protected] 2018 zgwenku网站版权所有
    ICP备案编号:蜀ICP备18016090号

    收起
    展开