數(shù)據(jù)庫(kù)安全檢查報(bào)告

1、1.1數(shù)據(jù)庫(kù)安全檢查報(bào)告編號(hào)生產(chǎn)廠商/型號(hào)12-5-4物理位宜中心機(jī)房所在網(wǎng)絡(luò)檢査日期檢査人責(zé)任人審核人編號(hào)檢査 項(xiàng)目檢査內(nèi)容操作方法結(jié)果檢査記錄1通 用 安 全機(jī) 制操作系統(tǒng)檢査檢査數(shù)據(jù)庫(kù)安裝名目的權(quán)限， 確保只有系統(tǒng)治理員才能訪問 該名目對(duì)Windows操作系統(tǒng)而言，采納 regedt32 檢 査 HKLMSoftwareSybase 中的權(quán) 限鍵值2服務(wù)器信息列舉網(wǎng)絡(luò)上的遠(yuǎn)程服務(wù)器exec sp_helpserver檢査輸出內(nèi)容：網(wǎng)絡(luò)密碼加密的部份可能如下： net password encryption= truenet password encryption= false安全機(jī)制部份

2、可能如下：rpc security model A 是不 提供安全機(jī)制rpc security model B是提 供不同的安全服務(wù).如互相認(rèn) 證、消息加密、完整性校驗(yàn)等。列舉特定服務(wù)器的信息exec sp_helpdb3登陸配宜檢査認(rèn)證模式是否開啟exec sp_logmconf ig loginmode檢査默認(rèn)登陸exec splogmconfig default account在集成認(rèn)證模式中，確認(rèn)默認(rèn)登 陸角色不是sa,設(shè)宜為NULL或 者一個(gè)低權(quán)限的用戶。4補(bǔ)丁査看服務(wù)器版木信息select AVERSION5數(shù)據(jù)庫(kù)配通用數(shù)據(jù)庫(kù)參數(shù)獲得當(dāng)前Server的配宜exec sp_confi

3、gure6檢査輸出allow updates to system tables假如是“on”狀態(tài)，DBA能夠通 過儲(chǔ)備過程修改系統(tǒng)表。建議 SSO將其設(shè)迓為“off”狀態(tài)。因?yàn)椴畈欢?建立的儲(chǔ)備過程能夠被執(zhí)行，建 議審計(jì)數(shù)據(jù)庫(kù)的儲(chǔ)備過程列表。exec sp_configure allow updates to system tables7檢查并保證allow resource limit*的值設(shè)為“Vexec sp_configure allow resource limit8保證系統(tǒng)表syscomments*差 不多被愛護(hù)該系統(tǒng)表專門重要. 但默認(rèn)情形下被設(shè)置為確 認(rèn)該值被設(shè)宜為0。exec

4、 sp_configure select on syscomments text9錯(cuò)誤日志配邏檢査是否設(shè)宜失敗登陸日忐，確 認(rèn)該值設(shè)宜為(Texec sp_configure log audit logon failure10檢査是否設(shè)宜成功登陸日志，確 認(rèn)該數(shù)值設(shè)為(Texec sp_configure log audit logon success11用 戶 級(jí) 安 全組列舉某數(shù)據(jù)庫(kù)的所有組：use DBNameexec sp_helpgroup12列舉某組內(nèi)的用戶：use DBNameexec sp_helpgroup GroupName13角色檢查服務(wù)器角色和用戶定義的 角色：sele

5、ct name, password, pwdate, status from syssrvroles14檢査每個(gè)角色的詳細(xì)信息：execsp_displayrol.esRo1eName, expand_up15檢査每個(gè)用戶的詳細(xì)信息：execsp_displayrolesUserName, expand_down16檢査角色中空口令用戶：select name from syssrvroleswhere password = NULL17用戶檢査某數(shù)據(jù)庫(kù)的所有用戶：exec sp_helpuser18檢査散列用戶口令：select name, password from syslogins19

6、檢査每個(gè)數(shù)據(jù)庫(kù)的用戶權(quán)限：use DBNameexec sp_helprotect20口令安全參數(shù)檢査口令過期時(shí)刻，建議設(shè)迓為14天exec sp_configure password expiration interval0 -密碼從只是期-天數(shù)21檢查口令是否至少包含一位數(shù) 字exec sp_configure check password for digitO 強(qiáng)制用戶口令中至少包 含一個(gè)數(shù)字22檢査昴小密碼長(zhǎng)度.建議為8位以上exec sp_configure minimumpassword length23數(shù) 據(jù) 級(jí) 安 全權(quán)限檢査關(guān)鍵表.過程.觸發(fā)器的權(quán) 限檢査給予public組權(quán)

7、限的 對(duì)象:use DBNameexecsp_helprotectObjectName 輸出：1.用戶權(quán)限列表2. 所有對(duì)象的權(quán)限類型3. 是否設(shè)S WITH GRANT權(quán)限24儲(chǔ)備過程列出數(shù)據(jù)庫(kù)中所有擴(kuò)展儲(chǔ)備過 程：use sybsystemprocsselect name from sysobjectswhere type二XP25刪除擴(kuò)展儲(chǔ)備過程 xp_cmdshell 并刪除sybsyesp dllexecsp_dropextendedprocxp_cmdshell假如一定需要使用 xp_cmdshell,則審核其權(quán)限分 配：use sybsystemprocsexecsp_helpr

8、otect“xp_cmdshellM26檢査其它儲(chǔ)備過程如sendmail,freemail,readmail,deletemail,startmail, stopmail 刪除無 用的儲(chǔ)備過程，并刪除mail帳 號(hào)sybrnaiT 27網(wǎng) 絡(luò) 層 安 全遠(yuǎn)端服務(wù)器信息檢査遠(yuǎn)端服務(wù)器是否承諾訪問 use masterexec sp_configure allowremote access1承諾遠(yuǎn)程訪問0 -不承諾遠(yuǎn)程訪問檢査信任用戶的存在情形 exec sp_helpremoteserver28遠(yuǎn)程連接機(jī)制檢査安全機(jī)制和其提供的安全 服務(wù)select * from syssecmechs Sy

9、ssecmech表默認(rèn)并不存在， 僅在査詢的時(shí)候創(chuàng)建.它由以下 的列組成：sec_mech_name服務(wù)湍提供的 安全機(jī)制名available_service 安全機(jī)制 提供的安全服務(wù)舉例Windows網(wǎng)絡(luò)治理員.其 內(nèi)容將為：sec_mech_name = NT LAN MANAGERavailable_service = unified login29檢査libctl.cfg文件內(nèi)部包含了網(wǎng)絡(luò)驅(qū)動(dòng)的信息，安 全.名目磁盤和其他初始化信 息。1. 假如LDAP密碼加密。2. 安全機(jī)制：”dce”DCE安全機(jī)制。Hcsfkrb5M CyberSAFE Kerberos 安全機(jī)制?！癓IBSMSSP” Windows NT 或Windows 95（僅客戶端）上的 Windows網(wǎng)絡(luò)治理員。注意：libtcl.cfg的位宜：UNIX 模式：$SYBASE/conf