等级保护测评策略建议整改措施

??????验证检查：
1、打开Microsoft SQL Server Management Studio，对象资源管理器中–安全性–登录名，
右键各个用户–属性–常规–强制实施密码策略、强制密码过期策略；
2、（数据库部署的操作系统中）控制面板–管理工具–本地安全设置–帐户策略–密码策略：
（1）、密码必须符合复杂性要求；
（2）、密码长度最小值；
（3）、密码最长使用期限；
（4）、密码最短使用期限；
（5）、强制密码历史；
3、在SQL 查询分析器中执行 Use master； Select name，Password from syslogins where password is null 或 使用数据库扫描软件，查看扫描结果中是否存在空口令/弱口令的用户。
建议整改：
（一）策略修改
1、每个用户需要勾选“强制实施密码策略”；
2、密码必须符合复杂性要求已启用，密码长度最小值0个字符，密码最短使用期限0天，密码最长使用期限42天，0个记住密码
3、未发现弱口令、空口令用户

?

??????c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

??????整改方法：

??????验证检查：
1、打开Microsoft SQL Server Management Studio，对象资源管理器中–安全性–登录名，
右键各个用户–属性–常规–强制实施密码策略；
2、控制面板–管理工具–本地安全设置–帐户策略–账户锁定策略：
（1）、复位帐号锁定计数器；
（2）、账户锁定时间；
（3）、账户锁定阀值。
建议整改：
（一）策略修改
1、每个用户需要勾选“强制实施密码策略”；
2、账户锁定时间30分钟，账户锁定阈值5次无效登录，重置账户锁定计数器30分

??????f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

??????整改方法：

??????验证检查：
1、采用令牌、USB-KEY或智能卡等身份认证技术手段对用户进行身份鉴别
建议整改：
部署双因素产品或者堡垒机

• 访问控制

??????d)应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；

??????整改方法：

??????验证检查：
打开Microsoft SQL Server Management Studio，对象资源管理器中–安全性–登录名，查看是否存在sa帐号。
建议整改：
（一）策略修改
1、对sa用户重命名

• 安全审计

??????a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；

??????b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；

??????c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；

??????d)应能够根据记录数据进行分析，并生成审计报表；

??????e)应保护审计进程，避免受到未预期的中断；

??????f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。

??????整体分析

??????整改方法：

??????验证检查：
打开Microsoft SQL Server Management Studio，对象资源管理器中，右键服务器–属性–安全性
1、登录审核；
2、启用C2审核跟踪。
建议整改：
（一）策略修改
1、勾选仅限失败的登录， 勾选启用C2审核跟踪
（二）设备和服务部署
部署数据库审计系统
1.2.2.?mysql数据库

• 身份鉴别

??????b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

??????整改方法：

??????验证检查：
1、使用的口令（如默认帐号root）是否复杂度，并且是否定期进行更换
建议整改：
（一）策略修改
1、用户口令长度8位，至少由字母、数字及字符两种以上的组合；
2、定期更换口令。

??????c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

??????整改方法：

??????验证检查：
1、是否有登录失败处理措施
建议整改：
使用了第三方技术实现了登录失败处理功能。

??????e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；

??????整改方法：

??????验证检查：
1、否存在多个用户使用同一帐号的情况。
建议整改：
1、不使用同一帐号进行管理

??????f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

??????整改方法：

??????验证检查：
1、是否采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，且其中一种是不可伪造的
建议整改：
1、采用令牌、USB-KEY或智能卡进行身份鉴别（部署双因子认证产品）

• 安全审计

??????a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；

??????b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；

??????c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；

??????d)应能够根据记录数据进行分析，并生成审计报表；

??????e)应保护审计进程，避免受到未预期的中断；

??????f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。

??????整体分析

??????整改方法：

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!