制度体系之---操作系统和数据库安全策略作业指导书.doc

信息技术管理制度 第 PAGE 38页，共 NUMPAGES 38页 制度体系之 - 操作系统和数据库安全策略作业指导书 TOC \o 1-3 \h \z \u 版 本 页 1 操作系统和数据库安全策略作业指导书 2 1. 防火墙配置基准 3 2. 数据库配置基准 4 2.1. SQL Server 2000/2008数据库安全配置标准 4 2.1.1 安装数据库的主机要求 4 2.1.2 数据库补丁安装标准 4 2.1.3 存储过程配置标准 4 2.1.4 数据库口令安全配置标准 5 2.1.5 目录和文件安全标准 5 2.1.6 数据库网络服务配置标准 6 2.1.7 数据库审计配置标准 7 3. 操作系统配置基准 8 3.1. Windows2000系统安全配置标准 8 3.1.1 系统补丁安装标准 8 3.1.2 账号和口令安全配置标准 8 3.1.3 目录和文件权限控制标准 11 3.1.4 网络与服务配置标准 17 3.1.5 安全选项配置标准 20 3.1.6 日志与审计配置标准 21 3.1.7 其它安全配置参考 22 3.2. Windows XP 安全配置标准 23 3.2.1 系统补丁安装标准 23 3.2.2 安全中心配置标准 24 3.2.3 “密码策略”配置要求 25 3.2.4 服务管理配置标准 27 3.2.5 安全审计配置标准 30 3.2.6 其它安全配置参考 31 3.3. Windows2003安全配置标准 32 3.3.1 系统补丁安装标准 32 3.3.2 补丁安装的原则 33 3.3.3 账号和口令安全配置标准 33 3.3.4 服务管理配置标准 35 3.3.5 安全选项配置标准 36 3.3.6 安全审计配置标准 38 3.3.7 其它安全配置参考 38 防火墙配置基准 防火墙的缺省包过滤规则为允许，在调试过程完成，测试结束后，一定要将防火墙的默认允许，改为禁止。 若防火墙的默认规则为全通的规则，请删除默认的安全规则，然后按照网络实际环境配置相应的安全规则，并且尽量不要设置地址和服务有ANY的规则， 为了有效保护内网与防火墙自身的抗攻击能力，可以打开防火墙的抗攻击功能，（建议在网络流量大的情况下不会开此功能，会影响网络的处理速度） 为了有效的保护内部的网络地址，并解决网络地址不足的问题，请尽量使用防火墙的ＮＡＴ功能，把内网的IP地址转换成防火墙的公网地址后再访问外部网络。 为了保证防火墙本身的主机安全，不要随意开启防火墙的远程ＳＳＨ管理功能，建议使用WEB+HTTPS+密钥等有效的管理方法。 为了分析防火墙的数据包记录日志，应将防火墙的包过滤日志信息记录下来，用于对事件分析。 数据库配置基准 SQL Server 2000/2008数据库安全配置标准 安装数据库的主机要求 主机应当专门用于数据库的安装和使用 数据库主机避免安装在域控制器上 主机操作系统层面应当保证安全： SQL Server 2000/2008数据库需要安装在Windows Server系统上 数据库软件安装之前，应当保证主机操作系统层面的安全 需要对主机进行安全设置 补丁更新 防病毒软件安装 数据库补丁安装标准 在新安装或者重新安装的数据库系统上，必须安装最新的Service Pack类补丁。 存储过程配置标准 应删除SQL server中无用的存储过程，这些存储过程极容易被攻击者利用，攻击数据库系统。删除的存储过程包括： xp_cmdshell xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumvalues xp_regread xp_regremovemultistrin xp_regwrite xp_sendmail 注意：删除存储过程要慎重，需要测试哪些存储过程是数据库实例所需要的。 数据库口令安全配置标准 SQL Server 2000/2008有两种登录验证方式：一是通过操作系统账号登录，另一个是通过数据库账户进行登录验证。由于应用的需要，大多数据库安装选择两种验证的混合方式，其中sa为SQL Server 2000/2008内置的数据库账户，需要为sa账户密码的复杂强度进行设置。另外，应用系统可能还会建立普通的账户，拥有特定数据库的存取权限，对于普通账户，也要设置强壮的密码。 密码复杂性配置要求 密码长度至少为6位 必须为sa账户和普通账户提供复杂的口令，需要包含以下字符： 英语大写字母 A, B,