中国联通内网SQL数据库安全基线配置指南

中国联通内网SQL数据库安全配置指南(试行)中国联通内网SQL数据库安全配置指南II目录前言............................................................................................................................................III1范围...................................................................................................................................12定义与缩略语...................................................................................................................12.1定义........................................................................................错误!未定义书签。2.2缩略语...................................................................................................................13安全配置要求...................................................................................................................13.1操作系统安全.......................................................................................................13.2互联网访问安全...................................................................................................13.3服务器应用安全...................................................................................................13.4测试开发环境安全...............................................................................................23.5SQLServer服务帐户安全...................................................................................23.6磁盘分区安全.......................................................................................................23.7目录安全...............................................................................................................23.8SQLServer补丁...................................................................................................33.9SQLServer端口...................................................................................................33.10范例数据库...........................................................................................................33.11停用SQLServer的命名管道..............................................................................43.12删除扩展的存储过程...........................................................................................43.13SQLServer属性配置常规选项...........................................................................43.14SQLServer属性配置连接选项...........................................................................43.15SQLServer属性配置数据库设置选项...............................................................53.16SQL登录帐号.....................................................................................................53.17审计信息检查.......................................................................................................53.18审计启用...............................................................................................................53.19审计日志...............................................................................................................63.20数据库备份...........................................................................................................64评审与修订.......................................................................................................................6中国联通内网SQL数据库安全配置指南III前言为确保中国联通信息系统的网络支撑和内网信息安全，指导各省级分公司做好SQL数据库的安全维护相关工作，在研究国际先进企业最佳实践的基础上，结合中国联通内网信息安全现状和实际需求，特制定本配置指南。本文档由中国联合网络通信有限公司管理信息系统部提出并归口管理。本文档起草单位：中国联合网络通信有限公司、系统集成公司。本文档主要起草人：钮吉安，安莹。本文档解释单位：中国联合网络通信有限公司管理信息系统部。中国联通SQL数据库配置指南11范围本文档规定了中国联通范围内安装有SQL数据库的主机应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行SQL数据库的安全配置。本文档适用版本：SQL数据库本文档的适用范围为中国联通集团总部、各直属单位、各省级分公司。2定义与缩略语2.1缩略语下列符号和缩略语适用于本标准：术语及缩写英文中文SQLStructuredQueryLanguage结构化查询语言3安全配置要求3.1操作系统安全配置项名称操作系统安全项目描述确认SQLServer所安装在的服务器的安全性。此服务器需要经过安全评估与加固，详细内容参阅《中国联通内网Windows2003Server安全配置指南》、《中国联通内网WindowsNT/2000Server安全配置指南》。操作步骤安全建议建议SQLServer所安装在的服务器要经过安全评估与加固备注3.2互联网访问安全配置项名称互联网访问安全项目描述如果数据库需要接受来自互联网的访问，则需要确认其安全性。操作步骤安全建议如果数据库服务器需要接受来自互联网的访问，建议把数据库服务器放置在DMZ区，并使用两级不同种类的防火墙来保护数据库。备注3.3服务器应用安全配置项名称服务器应用安全中国联通SQL数据库配置指南2项目描述确保安装了数据库服务的服务器不提供其他的服务，例如WEB、Mail等，其他服务的漏洞可能会导致数据库服务的不安全。操作步骤安全建议建议确保安装了数据库服务的服务器不提供其他的服务备注3.4测试开发环境安全配置项名称测试开发环境安全项目描述确保测试开发环境数据库与真实的生产环境数据库不在同一个网段内。操作步骤安全建议确保测试开发环境数据库与真实的生产环境数据库不在同一个网段内。备注3.5SQLServer服务帐户安全配置项名称SQLServer服务帐户安全项目描述应该尽量减少SQLServer服务帐号的权限。操作步骤工作组环境：开始-管理工具-本地安全策略-用户权限分配-拒绝本地登录，添加SQLServer服务帐户或组。安全建议拒绝此服务帐号本地登陆的权限。如果此服务的帐号为域帐号，确保此帐号只能登陆数据库服务器。备注在域环境应该在组策略中设置。3.6磁盘分区安全配置项名称磁盘分区安全项目描述检查数据库所在的磁盘是否为NTFS格式。操作步骤我的电脑-数据库所在的磁盘右键属性-常规，文件系统安全建议数据库所在的磁盘的分区格式为NTFS格式。设置命令：在cmd命令行下运行：convertvolume/FS:NTFS备注Volume为数据库所在的磁盘，且转换是单向的。3.7目录安全配置项名称目录安全中国联通SQL数据库配置指南3项目描述检查数据库所在目录的访问权限。操作步骤检查数据库所在目录右键属性-安全。安全建议保证只有授权的用户和管理员组和系统能够完全控制数据库目录。删除所有用户，只添加授权的用户备注3.8SQLServer补丁配置项名称SQLServer补丁项目描述审核SQLServer补丁是否为最新。操作步骤执行命令Select@@version或企业管理器-SQLServer-属性查看或打开查询分析器-帮助-关于。安全建议确保SQLServer的补丁为最新的。下载并安装最新的补丁备注SQLServer2000的版本和补丁号对应关系如下：8.00.194－------SQLServer2000RTM8.00.384－------(SP1)8.00.534－------(SP2)8.00.760－------(SP3)8.00.2039－------(SP4)SQLServer2005的版本和补丁号对应关系如下：9.00.2047－------SQLServer2005SP19.00.3042－------SQLServer2005SP29.00.3043－------SQLServer2005SP29.00.4035－------SQLServer2005SP33.9SQLServer端