2024年4月19日发(作者:)

序号 类别 测评项 测评实施

1)展开服务器组,编辑SQL Server注

册属性,查看身份认证方式;

或者

2)直接登录SQL Server企业管理器,

试图连接数据库,查看系统是否出现用

户和密码的输入框。

1)询问是否在安装时立刻修改sa口令,

用该用户和常见密码试图登录数据库系

统,查看是否成功。

2)在SQL 查询分析器中执行命令:

use master

select * from syslogins where password is

null

查看是否有空口令用户。

3)询问口令的管理要求,如口令的长度、

口令复杂性和口令更新周期等方面的管

理要求。

预期结果 说明

a)应对登录操作系统和数据

库系统的用户进行身份标识

和鉴别;

1)选中“使用SQL Server身份认证”,

并且选中“总是提示输入用户名和密应避免操作系统管理员对数

码”。 据库系统进行直接管理。

2)提示用户输入密码。

1

b)操作系统和数据库系统管

理用户身份标识应具有不易

被冒用的特点,口令应有复

杂度要求并定期更换;

1)sa用户的口令不是常见口令。

2)无空口令用户。

3)口令管理制度规定口令设置的复

杂度要求,至少包括:字符数字混合、

长度不低于8位。

SQL Server2000未提供技术

手段来强制要求口令的复杂

性,因此,只能通过管理手

段来进行强化用户口令的复

杂性。

c)应启用登录失败处理功能,

可采取结束会话、限制非法1)访谈系统管理员,了解是否采取第三

登录次数和自动退出等措方工具实现该功能。

施;

1)如果没有采用第三方工具或对

SQL Server2000默认没有提

SQL Server2000安全功能进行增强,

供登录失败处理功能。

则该项要求为不符合。

第 1 页 共 8 页

序号 类别 测评项

d)当对服务器进行远程管理

时,应采取必要措施,防止

鉴别信息在网络传输过程中

被窃听;

测评实施 预期结果 说明

1)询问是否能对数据库进行远程管理; 如果能够对数据库进行远程管理,则

2)在服务器网络实用工具中查看是否启应选中“强制协议加密(C)”,并对其

用“强制协议加密(C)”。 进行配置。

SQL Server2000提供SSL方

式对数据进行加密传输。

e)应为操作系统和数据库系

统的不同用户分配不同的用

户名,确保用户名具有唯一

性。

1)在SQL 查询分析器中执行命令:

use master

select name from syslogins,

针对查询出的账户列表,询问每个账号

的使用用户。

无多人共用同一个账号的情况。

SQL Server默认不存在相同

用户名的用户,但应防止多

人使用同一个账号。

f)应采用两种或两种以上组

合的鉴别技术对管理用户进

行身份鉴别。

1)询问数据库的身份鉴别方式,是否使

用其他鉴别技术。 应加强对操作系统用户的管理来强

2)如果使用其他技术,则查看该技术的化数据库安全。

实现情况。

SQL Server2000不能集成其

它身份鉴别措施,只能通过

“操作系统+数据库”的方式

共同对数据库进行保护。

2

访

a)应启用访问控制功能,依据

安全策略控制用户对资源的

访问;

1)在“企业管理器”-〉“安全性”中,

选中每个登录用户,在右键菜单中选择为每个登录用户指定了角色,并限定

“属性”,查看是否为每个用户指定了角了每个角色的访问权限。

色和能够对每个数据库的访问权限。

b)应根据管理用户的角色分

配权限,实现管理用户的权

限分离,仅授予管理用户所

1)在“企业管理器”-〉“安全性”中,

为每个登录用户授予所需的最小权

选中每个登录用户,在右键菜单中选择

限。

“属性”,查看每个登录用户的角色和权

1)应特别关注应用系统所使

用的数据库账号的权限;2)

原则上应为每个业务数据库

第 2 页 共 8 页