32-SGISLOP-SA49-10 MSSQLserver等级保护测评作业指导书(二级).doc

控制编号 控制编号：SGISL/OP-SA49-10 信息安全等级保护测评作业指导书 MSSQL（二级） 版 号： 第 1 版 修 改 次 数： 第 0 次 生 效 日 期： 20 中国电力科学研究院信息安全实验室  中国电力科学研究院信息系统安全实验室 控制编号：SGISL/OP-SA49-10 第 PAGE 7 页 共 SECTIONPAGES 8 页 MSSQL等级保护测评作业指导书（二级） 第 2 版 第 0 次修订 发布日期：2010年0 修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA49-10 树娟 按公安部要求修订 詹雄 2010.3.8 测评项编号 ADT-DB-MSSQL-01 对应要求 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。 测评项名称 补丁升级 测评分项：检查系统补丁安装情况 操作步骤 执行：1）查看SQL Server 版本信息 select serverproperty(Edition) select serverproperty(ProductLevel) 2）查看SQL Server 是否打补丁，及补丁的版本 Select @@Version 或者 SELECT SERVERPROPERTY(ProductVersion) 查看：版本及补丁信息 询问：数据库管理员 适用版本 所有Sql server 版本数据库 实施风险 无 符合性判定 数据库系统是最新的版本，判定结果为符合； 数据库系统不是最新的版本，判定结果为不符合。 备注 测评项编号 ADT-DB-MSSQL-02 对应要求 数据库系统中不应使用默认的监听端口。 测评项名称 监听端口 测评分项：检查监听端口 操作步骤 执行：1、在开始菜单中，指向程序，接着指向Microsoft SQL Server，然后单击SQL Server 网络实用工具。 2、在查询分析器中执行下列语句： Use master Go Xp_readerrorlog 查看：使用的端口“SQL Server 正在监听IP:端口, IP:端口。 适用版本 所有Sql server 版本数据库 实施风险 无 符合性判定 不存在默认的1433 端口，判定结果为符合； 存在默认的1433 端口，判定结果为不符合。 备注 测评项编号 ADT-DB-MSSQL-03 对应要求 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 测评项名称 检查Windows SQL Server账户 测评分项： 操作步骤 执行：1）在SQL 查询分析器或其他工具中执行命令： select name from syslogins，查看用户名。 适用版本 Windows2000、Windows XP、Windows 2003 实施风险 无 符合性判定 不存在多余帐户，判定结果为符合； 存在多余帐户，判定结果为不符合。 备注 测评项编号 ADT-DB-MSSQL-04 对应要求 应启用访问控制功能，依据安全策略控制用户对资源的访问。 测评项名称 程序文件权限 测评分项：检查程序文件的权限分配 操作步骤 执行：在\Program Files\Microsoft SQL Server\Mssql\Binn 文件夹中右键，属性查看权限。 询问：数据库管理员对程序文件的权限设置。 适用版本 Windows 2000 系统中的所有Sql server 版本数据库 实施风险 无 符合性判定 完全控制、修改、读取及运行等权限设置为允许，判定结果为符合； 完全控制、修改、读取及运行等权限设置为拒绝，判定结果为不符合。 备注 测评项编号 ADT-DB-MSSQL-05 对应要求 应启用访问控制功能，依据安全策略控制用户对资源的访问。 测评项名称 数据文件权限 测评分项：检查SQL Server数据文件的权限分配 操作步骤 执行：在\Program Files\Microsoft SQL Server\Mssql\Data 文件夹中右键，属性查看权限。 询问：数据库管理员对数据文件的权限设置。 适用版本 任何版本 实施风险 无 符合性判定 完全控制、修改、读取及运行等权限设置为允许，判定结果为符合； 完全控制、修改、读取及运行等权限设置为拒绝，判定结果为不符合。 备注 测评项编号 ADT-DB-MSSQL-06 对应要求 应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。 测评项名称 Sa用户 测评分项：检查Sa用户 操作步骤 执行：在master 库中，select * from syslogins where p