数据库安全测评指导书

1数据库安全测评指导书

MySQL安全测评

序号测评指标测评项检查方法预期结果

1身份鉴别a)检查服务

器的身份标

识与鉴别和

用户登录的

配置情况。

访谈: 1)访谈数据库

管理员，询问数据库系

统的身份标识和鉴别

机制采用何种措施实

现； 2)登录数据库系

统，查看是否提示输入

用户口令，然后以正确

口令登录系统，再以错

误口令或空口令重新

登录，观察是否成功。

1)数据库系统使用口

令鉴别机制对用户进

行身份标识和鉴别；

2)登录时提示输入用

户名和口令；以错误口

令或空口令登录时提

示登录失败，验证了登

录控制功能的有效性；

3)数据库系统不存在

密码为空的用户。

b)检查服务

器的身份标

识与鉴别和

用户登录的

配置情况。

访谈： 1）访谈数据库

管理员，询问数据库系

统采取何种措施防止

身份鉴别信息被冒用

（如复杂性混有大小

写字母、数字和特殊字

符，口令周期等）；在

安装时是否已经修改

root高权限用户的默

认口令。并且在企业管

理器中查看是否存在

空口令用户； 2）询问

数据库管理员，MySQL

数据库的口令管理要

求(口令的长度、口令

复杂性，口令更新周

期)。

1)数据库的用户口令

由大小写字母、数字和

特殊字符组成； 2)以

不符合复杂度要求和

不符合长度要求的口

令创建用户时均提示

失败。

c)检查服务

器的身份标

识与鉴别和

用户登录的

配置情况。

访谈：访谈数据库管

理员，是否配置了鉴别

失败处理功能，并设置

了非法登录次数的限

制值，对超过限制值的

登录终止其鉴别会话

或临时封闭帐号。手

工检查： 1）查看

/etc/f（Windows

1)数据库系统已启用

登陆失败处理、结束会

话、限制非法登录次数

等措施； 2)当超过系

统规定的非法登陆次

数或时间时，系统锁定

或自动断开连接。

下为my.ini），在[mysqld]后面是否已设置wait_timeout配置项； 2）查看MySQL 数据库运行平台的用户是否已设置登录失败处理策略； 3）查看MySQL数据库内置的为应用提供服务的用户是否设置主机IP绑定。

d)检查服务器的身份标识与鉴别和用户登录的配置情况。访谈: 1)访谈数据库

管理员，是否采用了技

术手段保证远程管理

数据进行加密传输，或

者采取第三方措施保

证远程管理数据加密

传输； 2）访谈数据

库管理员，安装数据库

是否配置SSH远程加

密连接。手工检查：

1)采用抓包工具，判断

远程管理数据包是否

是明文； 2）查询

f文件中是否配

置SSL证书加密传输；

3）查询user表中是否

有ssl_type字段。

1)数据库系统配置SSL

证书进行远程连接；

2)数据库系统没有采

用明文的传输协议进

行远程管理； 3)采用

第三方管理工具保证

远程管理的信息保密。

e)检查服务器的身份标识与鉴别和用户登录的配置情况。访谈： 1)访谈数据库

管理员，是否为数据库

各个实例分配不同用

户； 2）访谈数据库管

理员，是否存在多个帐

户共用同一个实例情

况，是否存在多人共用

一个帐号。

1)帐户与实例基于IP

绑定； 2)数据库系统

不存在多人共用一个

实例的情况； 3)数据

库确保用户名具有唯

一性。

f)检查服务器的身份标识与鉴别和用户登录的配置情况。访谈: 访谈数据库管

理员，数据库系统是否

采用了两个及两个以

上身份鉴别技术的组

合来进行身份鉴别（如

采用用户名/口令、挑

用户的认证方式选择

两种或两种以上组合

的鉴别技术，只用一种

技术无法认证成功。

战应答、动态口令、物理设备、生物识别技术中的任意两个组合）。手工检查：通过注册用户，并以一种身份鉴别技术登录，验证是否可以登录。

2访问控制a)检查服务

器的访问控

制设置情

况，包括安

全策略覆

盖、控制粒

度以及权限

设置情况

等。

访谈：访谈数据库管

理员，询问数据库系统

是否明确主体（如用

户）以用户和/或用户

组的身份规定对客体

（如文件或系统设备,

目录表和存取控制表

访问控制等）的访问控

制，覆盖范围是否包括

与信息安全直接相关

的主体（如用户）和客

体（如文件，数据库表

等）及它们之间的操作

（如读、写或执行）。

手工检查: 查看数据

库是否为角色限定了

权限，权限的覆盖范围

是否包括与信息安全

直接相关的主体(如用

户)和客体(如文件，数

据库表等)及它们之间

的操作(如读、写或执

行)。

数据库系统的重要文

件及目录已根据用户

级设置访问控制策略。

b)检查服务

器的访问控

制设置情

况，包括安

全策略覆

盖、控制粒

度以及权限

设置情况

等。

访谈：询问并查看除

数据库管理员root

外，是否还有其他的特

权用户，是否将系统管

理、安全管理和业务数

据管理分配给不同的

管理员。手工检查：

查看user表中帐户信

息。

数据库管理员、安全管

理员、安全审计员由不

同的人员和用户担当。

至少应该有数据库管

理员和安全管理员，安

全审计员在有第三方

审计工具时可以不要

求。

c)检查服务

器的访问控

制设置情

访谈：访谈数据库管

理员，数据库的特权用

户分配情况，查看在系

数据库系统除具有管

理员账户外，至少还有

专门的审计管理员账