返回
microsoft sql server数据库风险分析与建议

microsoft sql server数据库风险分析与建议

ID:31433928

大小:110.50 KB

页数:7页

时间:2019-01-09

microsoft sql server数据库风险分析与建议_第1页
microsoft sql server数据库风险分析与建议_第2页
microsoft sql server数据库风险分析与建议_第3页
microsoft sql server数据库风险分析与建议_第4页
microsoft sql server数据库风险分析与建议_第5页
资源描述:

《microsoft sql server数据库风险分析与建议》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、MicrosoftSQLServer数据库风险分析与建议  【摘要】在当今信息时代,信息的安全越来越受到人们的关注。但从关注信息安全到保障信息安全,还需要每个人共同去努力。本文通过对SQLServer数据库风险的分析,希望能增强人们的安全意识与SQLServer数据库方面综合分析能力。本文提供了17项高风险分析与专业配置建议,对SQLServer数据库风险识别、风险评估与修复等工作具有参考价值。  【关键词】SQLServer;风险;分析;建议  1引言  今天,信息成为人类社会的重要资源,作为存储管理大量信息的数据库,

2、存放着个人信息、企业机密、国家机密等多种类型信息。当世界各国信息安全事件频发,信息的安全越来越受到人们的关注,信息安全保障工作也越发严峻,数据库安全作为信息安全最后一道防线,其重要性不言而喻。  2现状  现在,仍有许多公司、单位使用MicrosoftSQLServer数据库存在:默认安装未做任何安全配置即使用,长期没有更新安全补丁、升级版本,安全设置不正确等情况,导致SQLServer数据库安全漏洞百出。  3分析与建议  本文希望通过SQL7Server数据库风险分析,增强人们的安全意识与SQLServer数据库方面

3、综合分析能力。17项高风险分析与专业配置建议如下。  (1)GDI+VML、EMF、GIF、WMF、BMP、TIFF、PNG等图片文件格式漏洞  GDI+漏洞影响VML(CVE-2007-5348)、EMF(CVE-2008-3012)、GIF(CVE-2008-3013)、WMF(CVE-2008-3014)、BMP(CVE-2008-3015)、TIFF(CVE-2009-2503)、PNG(CVE-2009-3126)等常见的图片文件格式,也就是说机器上有该漏洞的系统一旦打开(甚至不需要用户打开,只要程序解析该文件

4、)包含有漏洞的利用代码的文件就会执行其中的任意代码。  建议:安装MS08-052补丁软件对漏洞进行修补。  (2)口令攻击  当SQLServer审计设置为记录全部或者记录失败时,数据库服务器中存在字典攻击的证据。  建议:一分钟内失败的最大次数为6次,登录失败超过定制的次数,漏洞存在。  (3)弱口令用户  在一个安全的数据库环境中登录用户都要有强壮的密码,特别是具有管理员权限的用户。  强壮的密码建议遵循原则:必须包括字母、数字和特殊字符、至少8位长、密码不常见。  (4)sa口令与用户名相同  SQL7Serve

5、r中默认的登录用户sa具有系统管理员的权限,拥有对数据库的最高权限,攻击者获得sa的密码后就可以对数据库执行任意操作。建议:将sa更改为强口令。  (5)SQLServer补丁  SQLServer是否安装了最新的补丁。当一个版本发布一段时间后,SQLServer的厂家会提供了修补漏洞(包括安全问题)的升级补丁,这些修补都包括在补丁中。  建议:按时关注其官方网站发布的修补信息,及时给数据库服务器安装上最新发布的补丁。  (6)存储过程安全  检查sp_replwritetovarbin、sp_add_jobstep、s

6、p_add_jobserver、sp_add_jobschedule、sp_add_job、sp_dropgroup、sp_depends、sp_add_alert、sp_add_agent_profile、sp_add_agent_parameter、sp_grantlogin、sp_addrole、sp_adduser、sp_executesql、sp_indexes、sp_trace_create、sp_trace_generateevent、sp_trace_setevent、sp_trace_setfilter

7、、sp_trace_setstatus、sp_bindsession、sp_replcmds、sp_replcounters、sp_repldone、sp_repldropcolumn的执行权限是否符合安全要求。  建议:全部设置为仅sysadmin可以执行。  (7)扩展存储过程安全  检查xp_revokelogin、xp_msver、xp_sprintf、xp_sscanf的执行权限是否符合安全要求。  建议:全部设置为仅sysadmin可以执行。7  (8)用户密码过期  密码过期的登录用户。要求用户的密码在一定

8、规则的基础上进行修改对抵御的字典攻击很有用处,因为密码的使用时间越长,密码通过暴力破解、窃取或其他途径被破解的可能性就越大。  建议:口令修改后过期的天数为45天,在口令即将过期时提醒用户修改(天数)为5天,用户也可以自定义这些值。  (9)WindowsNT登录用户不正确  SQLServer允许用户使用操作系统的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。