数据库安全检查报告.doc

数据库 编号 生产厂商/型号 12-5-4 物理位置 中心机房 所在网络 检查日期 检查人 责任人 审核人 编号 检查项目 检查内容 操作方法 结果 检查记录 1 通 用 安 全 机 制 操作系统检查 检查数据库安装目录的权限，,确保只有系统管理员才能访问该目录 对Windows 操作系统而言，采用regedt32 检查HKLM\Software\Sybase中的权限键值 2 服务器信息 列举网络上的远程服务器 exec sp_helpserver 检查输出内容： 网络密码加密的部份可能如下： net password encryption = true net password encryption = false 安全机制部份可能如下： rpc security model A 是不提供安全机制 rpc security model B 是提供不同的安全服务，如互相认证、消息加密、完整性校验等。 列举特定服务器的信息 exec sp_helpdb 3 登陆配置 检查认证模式是否开启 exec sp_loginconfig login mode 检查默认登陆 exec sp_loginconfig default account 在集成认证模式中,确认默认登陆角色不是sa ,设置为NULL 或者一个低权限的用户。 4 补丁 查看服务器版本信息 select @@VERSION 5 数据库配置 通用数据库参数 获得当前Server 的配置 exec sp_configure 6 检查输出 allow updates to system tables 如果是“on”状态，DBA 可以通过存储过程修改系统表。建议sso 将其设 置为“off”状态。因为已经建立的存储过程可以被执行，建议审计数据库的存储过程列表。 exec sp_configure allow updates to system tables 7 检查并保证allow resource limit的值设为“1” exec sp_configure allow resource limit 8 保证系统表syscomments 已经被保护该系统表非常重要，但默认情况下被设置为1，确认该值被设置为0。 exec sp_configure select on syscomments.text 9 错误日志配置 检查是否设置失败登陆日志，确认该值设置为0 exec sp_configure log audit logon failure 10 检查是否设置成功登陆日志，确认该数值设为0 exec sp_configure log audit logon success 11 用 户 级 安 全 组 列举某数据库的所有组: use DBName exec sp_helpgroup 12 列举某组内的用户： use DBName exec sp_helpgroup GroupName 13 角色 检查服务器角色和用户定义的角色： select name, password, pwdate, status from syssrvroles 14 检查每个角色的详细信息： exec sp_displayroles RoleName, expand_up 15 检查每个用户的详细信息： exec sp_displayroles UserName, expand_down 16 检查角色中空口令用户： select name from syssrvroles where password = NULL 17 用户 检查某数据库的所有用户： exec sp_helpuser 18 检查散列用户口令： select name, password from syslogins 19 检查每个数据库的用户权限： use DBName exec sp_helprotect 20 口令安全参数 检查口令过期时间，建议设置为14天 exec sp_configure password expiration interval 0 – 密码从不过期 n – 天数. 21 检查口令是否至少包含一位数字 exec sp_configure check password for digit 0 － 强制用户口令中至少包含一个数字 22 检查最小密码长度，建议为8位以上 exec sp_configure minimum password length 23 数