7sqlserver2022年測(cè)評(píng)指導(dǎo)書三級(jí)s3a3g3.0版

1、序號(hào) 序號(hào) 類別 類別 測(cè)評(píng)項(xiàng) 測(cè)評(píng)項(xiàng) 測(cè)評(píng)實(shí)施 測(cè)評(píng)實(shí)施 預(yù)期結(jié)果 預(yù)期結(jié)果 說(shuō)明 說(shuō)明a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù) 庫(kù)系統(tǒng)的用戶進(jìn)展身份標(biāo)識(shí) 和鑒別；1）開放效勞器組，編輯SQL Server注 冊(cè)屬性，查看身份認(rèn)證方式； 或者2直接登錄SQL Server企業(yè)治理器， 試圖連接數(shù)據(jù)庫(kù)，查看系統(tǒng)是否消滅用 戶和密碼的輸入框。D選中“使用SQL Server身份認(rèn)證”， 并且選中“總是提示輸入用戶名和密 碼”。2）提示用戶輸入密碼。應(yīng)避

2、開操作系統(tǒng)治理員對(duì)數(shù) 據(jù)庫(kù)系統(tǒng)進(jìn)展直接治理b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管 理用戶身份標(biāo)識(shí)應(yīng)具有不易 被冒用的特點(diǎn)，口令應(yīng)有復(fù) 雜度要求并定期更換；1）詢問(wèn)是否在安裝時(shí)馬上修改sa 口令， 用該用戶和常見密碼試圖登錄數(shù)據(jù)庫(kù)系 統(tǒng)，查看是否成功。2）在SQL查詢分析器中執(zhí)行命令：use masterselect * from syslogins where password isnull查看是否有空口令用戶。3）詢問(wèn)口令的治理要求，如口令的長(zhǎng)度

3、、 口令簡(jiǎn)單性和口令更周期等方面的治理 要求。1） sa用戶的口令不是常見口令。2）無(wú)空口令用戶。3） 口令治理制度規(guī)定口令設(shè)置的復(fù) 雜度要求，至少包括：字符數(shù)字混合、 長(zhǎng)度不低于8位。SQL Server2022未供給技術(shù) 手段來(lái)強(qiáng)制要求口令的簡(jiǎn)單 性，因此，只能通過(guò)治理手 段來(lái)進(jìn)展強(qiáng)化用戶口令的簡(jiǎn) 單性。1身 份 鑒 別c）應(yīng)啟用登錄失敗處理功能， 可實(shí)行完畢會(huì)話、限制非法 登錄次數(shù)和自動(dòng)退出等措 施；1）訪談系統(tǒng)治理員，了解是否實(shí)

4、行第三 方工具實(shí)現(xiàn)該功能。1））假設(shè)沒(méi)有承受第三方工具或?qū)?SQL Server2022安全功能進(jìn)展增加， 則該項(xiàng)要求為不符合。SQL Server2022默認(rèn)沒(méi)有供 給登錄失敗處理功能。序號(hào) 序號(hào) 類別 類別 測(cè)評(píng)項(xiàng) 測(cè)評(píng)項(xiàng) 測(cè)評(píng)實(shí)施 測(cè)評(píng)實(shí)施 預(yù)期結(jié)果 預(yù)期結(jié)果 說(shuō)明 說(shuō)明序號(hào) 序號(hào) 類別 類別 測(cè)評(píng)項(xiàng) 測(cè)評(píng)項(xiàng) 測(cè)評(píng)實(shí)施 測(cè)評(píng)實(shí)施 預(yù)期結(jié)果 預(yù)期結(jié)果 說(shuō)明 說(shuō)明d）當(dāng)對(duì)效勞器進(jìn)展遠(yuǎn)程治理 時(shí)，應(yīng)實(shí)行必要措施，防止 鑒別信息在網(wǎng)絡(luò)傳輸

5、過(guò)程中 被竊聽；1）詢問(wèn)是否能對(duì)數(shù)據(jù)庫(kù)進(jìn)展遠(yuǎn)程治理； 2）在效勞器網(wǎng)絡(luò)有用工具中查看是否啟 其用“強(qiáng)制協(xié)議加密（C）”。段設(shè)能夠?qū)?shù)據(jù)庫(kù)進(jìn)展遠(yuǎn)程治理，則 應(yīng)選中“強(qiáng)制協(xié)議加密（C）”，并對(duì) 進(jìn)展配置。SQL Scrvcr2022 供給 SSL 方 式對(duì)數(shù)據(jù)進(jìn)展加密傳輸。e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系 統(tǒng)的不同用戶安排不同的用 戶名，確保用戶名具有唯一 性。1）在SQL查詢分析器中執(zhí)行命令：use masterselect name fro

6、m syslogins, 針對(duì)查詢出的賬戶列表，詢問(wèn)每個(gè)賬號(hào) 的使用用戶。無(wú)多人共用同一個(gè)賬號(hào)的狀況。SQL Server默認(rèn)不存在一樣 用戶名的用戶，但應(yīng)防止多 人使用同一個(gè)賬號(hào)。f）應(yīng)承受兩種或兩種以上組 合的鑒別技術(shù)對(duì)治理用戶進(jìn) 展身份鑒別。I）詢問(wèn)數(shù)據(jù)庫(kù)的身份鑒別方式，是否使 用其他鑒別技術(shù)。2）假設(shè)使用其他技術(shù)，則查看該技術(shù)的 實(shí)現(xiàn)狀況。應(yīng)加強(qiáng)對(duì)操作系統(tǒng)用戶的治理來(lái)強(qiáng) 化數(shù)據(jù)庫(kù)安全。SQL Server2022不能集成其 它身

7、份鑒別措施，只能通過(guò) “操作系統(tǒng)+數(shù)據(jù)庫(kù)”的方式共同對(duì)數(shù)據(jù)庫(kù)進(jìn)展保護(hù)。a）應(yīng)啟用訪問(wèn)掌握功能，依據(jù) 安全策略掌握用戶對(duì)資源的 訪問(wèn)；1）在“企業(yè)治理器”->“安全性”中， 選中每個(gè)登錄用戶，在右鍵菜單中選擇/“屬性”，查看是否為每個(gè)用戶指定了角1 色和能夠?qū)γ總€(gè)數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限。J每個(gè)登錄用戶指定了角色，并限定 '每個(gè)角色的訪問(wèn)權(quán)限。2訪 問(wèn) 控 制b）應(yīng)依據(jù)治理用戶的角色安 排權(quán)限，實(shí)現(xiàn)治理用戶的權(quán) 限分別，僅橙干治理用