操作系统和数据库安全策略作业指导书(讨论稿).doc

版本页
标题:China Advanced Construction Materials Group信息技术管理制度
主题:操作系统和数据库安全策略作业指导书
文档编号:
版本说明:
版本号
版本日期
作者
备注

创建

审批
操作系统和数据库安全策略作业指导书
版本页 1
操作系统和数据库安全策略作业指导书 2
1. 防火墙配置基准 3
2. 数据库配置基准 4
. SQL Server 2000/2008数据库安全配置标准 4
安装数据库的主机要求 4
数据库补丁安装标准 4
存储过程配置标准 4
数据库口令安全配置标准 5
目录和文件安全标准 5
数据库网络服务配置标准 6
数据库审计配置标准 7
3. 操作系统配置基准 8
. Windows2000系统安全配置标准 8
系统补丁安装标准 8
账号和口令安全配置标准 8
目录和文件权限控制标准 11
网络与服务配置标准 17
安全选项配置标准 20
日志与审计配置标准 21
其它安全配置参考 22
. Windows XP 安全配置标准 23
系统补丁安装标准 23
安全中心配置标准 24
“密码策略”配置要求 25
服务管理配置标准 27
安全审计配置标准 30
其它安全配置参考 31
. Windows2003安全配置标准 32
系统补丁安装标准 32
补丁安装的原则 33
账号和口令安全配置标准 33
服务管理配置标准 35
安全选项配置标准 36
安全审计配置标准 38
其它安全配置参考 38
防火墙配置基准
防火墙的缺省包过滤规则为允许,在调试过程完成,测试结束后,一定要将防火墙的默认允许,改为禁止。
若防火墙的默认规则为全通的规则,请删除默认的安全规则,然后按照网络实际环境配置相应的安全规则,并且尽量不要设置地址和服务有ANY的规则,
为了有效保护内网与防火墙自身的抗攻击能力,可以打开防火墙的抗攻击功能,(建议在网络流量大的情况下不会开此功能,会影响网络的处理速度)
为了有效的保护内部的网络地址,并解决网络地址不足的问题,请尽量使用防火墙的NAT功能,把内网的IP地址转换成防火墙的公网地址后再访问外部网络。
为了保证防火墙本身的主机安全,不要随意开启防火墙的远程SSH管理功能,建议使用WEB+HTTPS+密钥等有效的管理方法。
为了分析防火墙的数据包记录日志,应将防火墙的包过滤日志信息记录下来,用于对事件分析。
数据库配置基准
SQL Server 2000/2008数据库安全配置标准
安装数据库的主机要求
主机应当专门用于数据库的安装和使用
数据库主机避免安装在域控制器上
主机操作系统层面应当保证安全:
SQL Server 2000/2008数据库需要安装在Windows Server系统上
数据库软件安装之前,应当保证主机操作系统层面的安全
需要对主机进行安全设置
补丁更新
防病毒软件安装
数据库补丁安装标准
在新安装或者重新安装的数据库系统上,必须安装最新的Service Pack类补丁。
存储过程配置标准
应删除SQL server中无用的存储过程,这些存储过程极容易被攻击者利用,攻击数据库系统。删除的存储过程包括:
xp_cmdshell
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumvalues
xp_regread
xp_regremovemultistrin
xp_regwrite
xp_sendmail
注意:删除存储过程要慎重,需要测试哪些存储过程是数据库实例所需要的。
数据库口令安全配置标准
SQL Server 2000/2008有两种登录验证方式:一是通过操作系统账号登录,另一个是通过数据库账户进行登录验证。由于应用的需要,大多数据库安装选择两种验证的混合方式,其中sa为SQL Server 2000/2008内置的数据库账户,需要为sa账户密码的复杂强度进行设置。另外,应用系统可能还会建立普通的账户,拥有特定数据库的存取权限,对于普通账户,也要设置强壮的密码。
密码复杂性配置要求
密码长度至少为6位
必须为sa账户和普