欢迎来到中国文库网! | 帮助中心 分享价值,成长自我!
中国文库网
全部分类
  • 实用文档 >
    实用文档
    求职/职场 PPT模板库 总结/汇报/计划 主持/演讲稿/致辞/ 思想汇报/心得体会 规章制度 调研述职 学习专题 行政公文 合同协议 方案/研究报告 说明文档 其它范文模版
  • 专业资料 >
    专业资料
    经管营销 IT/计算机 工程科技 人文社科 自然科学 医药卫生 农林牧渔
  • 教育资料 >
    教育资料
    幼儿教育 小学教育 初中教育 高中教育 职业教育 成人教育 高等教育 其它教育资料
  • 资格认证/考试 >
    资格认证/考试
    公务员考试 成考 自考 专升本考试 教师资格考试 司法考试 微软认证 思科认证 注册会计师 全国翻译资格认证 医师/药师资格考试 会计职称考试 报关员资格考试 人力资源管理师 安全工程师考试 出国培训 资产评估师考试 技工类职业技能考试 银行从业资格 计算机等级考试 营养师认证 物流师考试 证券从业资格考试 注册税务师 理财规划师 建筑师考试 质量管理体系认证 建造师考试 英语四六级 英语专业四八级 GRE 雅思/LSAT 托福 其它
  • 学术论文/大学论文 >
    学术论文/大学论文
    毕业论文 期刊/会议论文 管理论文 社科论文 文学论文 开题报告 经济论文 法律论文 医学论文 哲学论文 艺术论文 通讯论文 自然科学论文 论文指导/设计 其它论文
  • 生活休闲专区 >
    生活休闲专区
    饮食 游戏 体育/运动 音乐 旅游购物 娱乐时尚 美容化妆 家具家电 社会民生 影视/动漫 保健养生 随笔 摄影摄像 幽默滑稽 综合/其它
  • 首页 中国文库网 > 资源分类 > DOC文档下载

    MYSQL现场测评记录表.doc

    • 资源大小:85.00KB        全文页数:7页
    • 资源格式: DOC        下载权限:游客/注册会员/VIP会员    下载费用:1金币 【人民币1元】
    游客快捷下载 游客一键下载
    会员登录下载
    下载资源需要1金币 【人民币1元】

    邮箱/手机:
    温馨提示:
    支付成功后,系统会根据您填写的邮箱或者手机号作为您下次登录的用户名和密码(如填写的是手机,那登陆用户名和密码就是手机号),方便下次登录下载和查询订单;
    特别说明:
    请自助下载,系统不会自动发送文件的哦;
    支付方式: 微信支付    支付宝   
    验证码:   换一换

          加入VIP,免费下载资源
     
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,既可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰   

    MYSQL现场测评记录表.doc

    深圳市信息安全测评中心 第 1 页 共 7 页项目编号SISITEC(DC)**MYSQL 测评现场记录表2010 年_月深圳市信息安全测评中心 第 2 页 共 7 页1.测评对象2.入场确认3.离场确认对象名称及 IP 地址 备注序号 确认内容1 测评对象中的关键数据已备份。如果没有备份则不进行核查。2 测评对象工作正常。如工作异常则不进行核查。开始时间 确认签字序号 确认内容1 测评工作未对测评对象造成不良影响,测评对象工作正常。结束时间 确认签字深圳市信息安全测评中心 第 3 页 共 7 页4.测评记录序号类别 测评内容 测评方法示例 结果记录符合情况1 a)应对登陆操作系统和数据库系统的用户进 行身份标识和鉴别;应检查 mysql 数据库系统,执行命令 select host,user,password from user;查看是否存在空口令或默认口令的用户;2b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;1)执行命令select distinct concat‘show grants for userocalhost;select limit from dba_profiles where profile‘DEFAULT’and resource_name‘PASSWORD_VERIFY_FUNCTION’,查看是否启用口令复杂度函数。2)检查 utlpwdmms.sql 中“Check for the minimum length of the password”部分中“lengt(password)”后的值。3)或者查看口令管理制度以及执行记录,并选择验证。3 c)应启用登陆失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;1)执行命令select limit from dba_profiles where profile‘DEFAULT’ and resource_name‘FAILED_LOGIN_ATTEMPTS’。2)执行命令select limit from dba_profiles where profile‘DEFAULT’ and resource_name‘PASSWORD_LOCK_TIME’。4身份鉴别d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。在 MySQL 服务器和客户端程序之间使用 SSL 连接,系统必须能够支持 OpenSSL,并安装 OpenSSL 库, 执行命令SHOW VARIABLES LIKE have_openssl;查看 have_openssl 系统变量的值, 如果值为 YES,服务器支持 OpenSSL 连接;深圳市信息安全测评中心 第 4 页 共 7 页序号类别 测评内容 测评方法示例 结果记录符合情况5 e应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;1)执行命令select host,user,password from user;,查看是否存在相同用户名的账户。2)询问数据库管理员,是否为不同的用户分配不同的用户名;6 f应采用两种或两种以上组合的鉴别技术对 管理用户进行身份鉴别。询问数据库的身份鉴别方式,是否使用其他鉴别技术。1 a应启用访问控制功能,依据安全策略控制 用户对资源的访问;1)询问数据库管理员,数据库系统的访问控制策略是什么。2)查看 Oracle 数据库的访问控制策略是否与管理员回答的一致,执行命令select Host,User,Password,Select_priv,Grant_priv from user;查看用户及对应访问权限;2b应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;查看每个登录用户的角色和权限,是否该用户所需的最小权限。3 c应实现操作系统和数据库系统特权用户的 权限分离; 询问是否由不同员工分别担任操作系统管理员与数据库管理员。4访问控制d应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;1)登录验证 sys 的口令是否为 CHANGE_ON_INSTALL。2)登录验证 system 的口令是否为 manager。3)登录验证 dbsnmp 的口令是否为 dbsnmp。深圳市信息安全测评中心 第 5 页 共 7 页序号类别 测评内容 测评方法示例 结果记录符合情况5 e应及时删除多余的、过期的账户,避免共 享账户的存在;1)在 sqlplus 中执行命令select username,account_status from dba_users。2)查看返回结果中是否存在 scott、outln、ordsys 等范例数据库账号。3)针对上述命令获得的用户账号,查看是否存在过期账户,询问数据库管理员是否每一个账户均为正式、有效的账户4)针对上述命令获得的用户账号,询问是否存在多人共享账户的情况6 f应对重要信息资源设置敏感标记;1)检查是否安装 Oracle Label Security 模块select username from dba_users。2)查看是否创建策略SELECT policy_name,status from DBA_SA_POLICIES。3)查看是否常见级别SELECT * FROM dba_sa_levels ORDER BY vel_num。4)查看标签创建情况select * from dba_sa_labels。5)询问重要数据存储表格名称。6)查看策略与模式、表的对应关系select * from dba_sa_tables_policies;判断是否针对重要信息资源设置敏感标签。7 g应依据安全策略严格控制用户对有敏感标 记重要信息资源的操作。1)查看用户的标签select * from dba_sa_user_labels。2)选择特定的用户和表进行验证策略。1安全审计a审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;1)执行show variables like log_bin,查看是否开启审计功能。2)用不同的用户登录数据库系统并进行不同的操作,在 Oracle 数据库中查看日志记录是否满足要求。深圳市信息安全测评中心 第 6 页 共 7 页序号类别 测评内容 测评方法示例 结果记录符合情况2b审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;1) show parmeter audit_trail。2) show parameter audit_sys_operations。3) select sel,upd ,del,ins,gra from dba_obj_audit_opts。4) select sel,upd ,del,ins,gra from dba_stmt_audit_opts。5) select sel,upd ,del,ins,gra from dba_priv_audit_opts。3 c审计记录应包括时间的日期、时间、类型、 主体标识、客体标识和结果等;记录一条日志内容,确认其包括事件发生的日期与时间、触发时间的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源(如末端标识符) 、事件的结果等内容。4 d应能够根据记录数据进行分析,并生成审 计报表; 询问管理员是否安装并使用 Oracle Audit Vault 等日志分析工具并查看相关报表。5 e应保护审计进程,避免受到未预期的中断;1)询问是否严格限制管理员权限。2)用户可以通过 alter system set audit_trailnone 并重启实例关闭审计功能,查看是否成功。6 f应保护审计记录,避免受到未预期的删除、 修改或覆盖等; 是否严格限制用户访问审计记录的权限,如采用 audit vault 等。1 a应通过设定终端接入方式、网络地址范围 等条件限制终端登录;查看服务器端 sqlnet.ora 中是否配置了以下参数tcp.validnode_checkingtcp.Invited_nodes。2 b应根据安全策略设置登录终端的操作超时 锁定;查看空闲超时设置select limit from dba_profiles where profile‘DEFAULT’and resource_name‘IDLE_TIME’。3资源控制c应限制单个用户对系统资源的最大或最小使用限度。1)确定用户使用的 profileselect username,profile from dba_users,针对指定用户的 profile,查看其限制深圳市信息安全测评中心 第 7 页 共 7 页序号类别 测评内容 测评方法示例 结果记录符合情况(以 default 为例) 。2) select limit from dba_profiles where profile‘DEFAULT’and resource_name‘SESSIONS_PER_USER’。3) select limit from dba_profiles where profile‘DEFAULT’and resource_name‘SESSIONS_PER_USER’。4) select limit from dba_profiles where profile‘DEFAULT’and resource_name‘IDLE_TIME’。1 a)应提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;1)询问系统管理员数据库的备份和恢复策略是什么,查看是否达到上述要求。2)检查相关文档和配置,查看是否与系统管理员回答的一致。2备份和恢复 b应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地。1)询问系统管理员是否提供异地数据备份功能,是否定时批量传送至备用场地。2)如果条件允许,则查看其实现技术措施的配置情况。

    注意事项

    本文(MYSQL现场测评记录表.doc)为本站会员(520AC)主动上传,中国文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知中国文库网(发送邮件至277317659@qq.com或直接QQ联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。

    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

    copyright@ 2018 zgwenku网站版权所有
    ICP备案编号:蜀ICP备18016090号

    收起
    展开