MySQL数据库等级保护测评列表
评测项评测要求评测⽅法评测记录
⾝份鉴别a)应⽤登录的⽤户进⾏⾝份标
识和鉴别,⾝份标识具有唯⼀
性,⾝份鉴别信息具有复杂度
要求并定期更换
1)尝试登录数据库,执⾏mysql –u root –p 查看是否提⽰输⼊⼝令鉴别⽤户⾝份
2)使⽤如下命令查询账号
select user, host FROM mysql.user
结果输出⽤户列表,查者是否存在相同⽤户名
3)执⾏如下语句查询是否存在空⼝令⽤:
select * from mysql.user where length(password)= 0 or password is null
输出结果是否为空
4)执⾏如下语句查看⽤户⼝令复杂度相关配置:
show variables like ‘validate%’;或 show VARIABLES like “%password”
样例:
1)⽤户登录数据库时,采⽤⽤户名、⼝令的⽅式进⾏⾝份鉴别
2)查询user表,不存在相同的⽤户名
3)不存在空⼝令⽤户;
4)配置信息:
Validate_password_length 8
Validate_password_mixed_case_count l
Validate_password_number_count l
Validate_password policy MEDIUM
Validate_password_special_char_count l
b)应具有登录失败处理功能,
应配置并启⽤结束会话、限制
⾮法登录次数和当登录连接超
时⾃动退出等相关措施
1)询问管理员是否采取其他⼿段配置数据库登录失败处理功能。
2)执⾏
show variables like %max_connect_errors%”;或核查myf⽂件,应设置如下参
数:
max_connect_errors=100
3) show variables like “%timeout%”,查看返回值
样例:
安装mysql失败1)MySQL 数据库采⽤第三⽅管理软件,且第三⽅管理软件设置登录失败锁定次
数
1/5
2)3)数据库管理系统本地配置了参数
max_connect_errors=100,Wait_timeout=28800,如果
mysql服务器连续接收到了来⾃于同⼀个主机的请求,且这些连续的请求全部都
没有成功的建⽴连续就被断开了,当这些连续的请求的累计值⼤于
max_connect_errors的设定值,mysql服务器就会阻⽌这台主机后续的所有请
求。Wait_timeout: ⼀个连接connection空闲超过8个⼩时(默认值28800
秒),MySQL就会⾃动断开这个连接
c)当进⾏远程管理时,应采
取必要措施、防⽌鉴别信息
在⽹络传输过程中被窃听
1)是否采⽤加密等安全⽅式对系统进⾏远程管理
2)执⾏
Mysql>show variables like %have_ssl%”
查看是否⽀持ssl得连接特性,若为disabled说明此功能没有激活,或执⾏\s查看
在⽹络传输过程中被窃听查看是否⽀持ssl得连接特性,若为disabled说明此功能没有激活,或执⾏\s查看
是否启⽤SSL:
3)如果采⽤本地管理⽅式,该项为不适⽤
访问控制a)应对登录得⽤户分配账户
和权限
1)执⾏语句 select uesr,host FROM mysql.user
输出结果是否为⽹络管理员,安全管理员,系统管理员创建了不同账户:
2)执⾏ show grants for’ XXX’@’ localhost’ :
查看⽹络管理员,安全管理员、系统管理员⽤户账户的权限,权限间是否分离并
相互制约
b)应重命名或删除默认账
户,
修改默认账户的默认⼝令
1) 执⾏ select user,host FROM mysql.user
输出结果查看root⽤户是否被重命名或被删除
2)若root账户未被删除,是否更改其默认⼝令,避免空⼝令或弱⼝令。
c)应及时删除或停⽤多余
的、过期的账户,避免共享
账户的存在
1)在sqlplus中执⾏命令:select username,account_status from dba_users
2)执⾏下列语句:
select * from mysql.user where user=””
select user, host FROM mysql.user
依次核查列出的账户,是否存在⽆关的账户。
3)访谈⽹络管理员,安全管理员、系统管理员不同⽤户是否采⽤不同账户登录系
统
d)应授权管理⽤户所需的最
⼩权限,实现管理⽤户的权
限分离
1)是否对⽤户进⾏⾓⾊划分且只授予账号必须的权限
如除root外,任何⽤户不应该有mysql库user表的存取权限,禁⽌将fil、
.process、super
权限授予管理员以为的账户
2)查看权限表,并验证⽤户是否具有⾃⾝⾓⾊外的其他⽤户的权限
安全审计a)应启⽤安全审计功能,审
计覆盖到每个⽤户,对重要
的⽤户⾏为和重要安全事件
进⾏审
1)执⾏下列语句:
mysql > show variables like ‘log_%’
查看输出的⽇志内容是否覆盖到所有⽤户,记录审计记录覆盖内容
2/5
计2)检查是否采取第三⽅⼯具增强MySQL ⽇志功能。若有,记录第三⽅审计⼯具
的审计内容,查看是否包括事件的⽇期和时间、⽤户、事件类型、事件是否成
功及其他与审计相关的信息
b)审计记录应⽤包括事件的
⽇期和时间,⽤户、事件类
型,事件是否成功及其他与
审计相关的信息
1)执⾏下列语句:
mysql>show variables like ‘log_%’
查看输出的⽇志内容是否覆盖所有⽤户,记录审计记录覆盖内容
2)检查是否采取第三⽅⼯具增强MySQL⽇志功能。若有,记录第三⽅审计⼯具的
审计内容,查看是否包括事件的⽇期和时间、⽤户、事件类型、事件是否成功
及其他与审计相关的信息
c)应对审计记录进⾏保护,
定期备份,避免受到未预期
的删除、修改或覆盖等
1)访谈管理员对审计话录如何保护,对审计记录是否定期备份,备份策略
2)是否严格限制⽤户访问审计记录的权限
⼊侵防范a)应通过设定终端接⼊⽅法
或⽹络地址范围对通过⽹络
进⾏管理的管理终端进⾏限
制
查看⽤户登录的IP地址:是否给所有⽤户加上IP限制,拒绝所有未知主机进⾏连
接
注:当uesr表中的Host值不为本地主机时,应制定特定IP地址,不应为%;或将
user表中的Host值为空,⽽在host表中指定⽤户账户允许登录访问的若⼲主机;
在⾮信任的客户端以数据库账户登录应被提⽰拒绝,⽤户从其他⼦⽹登录,应
被拒绝
b)应能发现可能存在的已知
漏洞,并在经过充分测试评
估后,及时修补漏洞
访谈MySQL补丁升级机制,查看补丁安装情况:
1) 执⾏如下命令查看当前补丁版本:
show variables where variable name like “version”
2)访谈数据库是否为企业版,是否定期进⾏漏洞扫描,针对⾼风险漏洞是否评估
补丁并经测试后再进⾏安装
可基于可信根对计算设备的
可信验证可基于可信根对计算设备的
系统引导程序、系统程序、
重要配置参数和应⽤程序等
进⾏可信验证,并在检测到
其可信性受到破坏后进⾏报
警,并将验证结果形成审计
记录送⾄安全管理中⼼
1)检查数据库的启动,是否实现可信验证的检测过程,查看对那些系统引导程
序、系统程序或重要配置参数进⾏可信验证
2)修改其中的重要系统程序之⼀和应⽤程序之⼀,检查是否能够检测到并进⾏报
警
3)是否将验证结果形成审计记录送⾄安全管理中⼼
数据完整性应采⽤校验技术或密码技术
保证重要数据在传输过程中
的完整性,包括但不限于鉴
别数据、重要业务数据、重
要审计数据、
1)询问系统管理员,该系统的鉴别数据、重要业务数据、重要审计数据,重要配
置数据,重要视频数据和重要个⼈信息等在传输过程中是否采⽤了校验技术或
密码技术保证完整性
2)使⽤⼯具对通信报⽂中的鉴别数据、重要业务数据、重要审计数据,重要配置
数据、重要视频数据和重要个⼈信息等进⾏篡改,查看是否能够检测到未知数
据在传输过程中的完整性受到破坏能够及时恢复
3/5
重要配置数据、重要视频数
据和重要个⼈信息等
数据备份恢复a)应提重要数据处理系统的
热冗余,保证系统的⾼可⽤
性
询问系统管理员数据库的备份和恢复策略是什么
b)应提供异地实时备份功
能,利⽤通信⽹络将重要数
据实时备份⾄备份场地
1)询问系统管理员是否提供异地数据备份功能,是否定时批量传送⾄备⽤场地
2)如果条件允许,则查看其实现技术措施的配置情况
剩余信息保护应保证鉴别信息所在的存储
空间被释放或重新分配前得
到完全清除
询问系统管理员,操作系统是否采取措施保证对存储介质(如硬盘或内存)防
⽌其他⽤户⾮授权获取该⽤户的鉴别信息
4/5
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论