一、前言

只要是信息系统，就需要运行所必需的系统环境，而Windows和Linux系统是现在使用最为广泛的主机操作系统，前边我们已经讲了等保测评2.0主机系统方面的测评项要求，大家有兴趣的可以翻阅我之前的文章。

而信息系统只要运行，就会产生数据，产生数据就需要存储，数据库就是另一个所有信息系统所必需的，数据是信息系统最重要的东西，所以数据库的安全就是保障数据安全的重要的屏障，现在市面上有许多数据库产品，其中使用比较广泛的就是SQLServer数据库，今天我们就来讲一讲等保测评2.0中对SQL Server数据库有哪些安全要求。

SQLServer数据库

二、测评项

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

三、测评项a

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

至于用户身份标识，这个SQL Server默认是符合的，至于用户鉴别，就是登陆数据库时需要输入用户名和密码，当然空密码是一定不符合要求的，SQLServer数据库提供两种身份验证方式，一种是Windows身份验证，它是借用Windows系统的用户验证机制，如果用户可以登录系统，那就可以不输入密码进入数据库，因此要选择另一种是SQL Server身份验证，在选择SQL Server身份验证，输入登录名密码时，一定不要勾选记住密码。

身份验证方式

因为SQL Server与Windows极强的关联性，对于Windows系统用户，在登录属性里一定要禁止登录，如下图所示：

禁止系统用户登录

至于身份标识具有唯一性，也就是用户名不能重复，这个SQL Server是默认符合要求的。

至于身份鉴别信息具有复杂度要求并定期更换，SQL Server是没有相关的设置的，它是借用的Windows系统的密码策略的，当然如果要成功生效，必须设置中勾选强制实施密码策略，如下图所示，至于Windows如何设置密码策略可以翻阅我的文章《一项一项教你测等保2.0——Windows身份鉴别》来查看。

强制实施密码策略

也可以使用SQL语句：select * from sys.sql_logins; 进行核查，如下图所示：

SQL语句核查

这里的is_policy_checked就是强制实施密码策略，1代表生效，0代表不生效。

四、测评项b

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

至于应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数，SQL Server也是借用的Windows中的策略，同样要想成功生效，必须勾选强制密码过期策略，如下图所示，至于Windows如何设置的，可以翻阅我的文章《一项一项教你测等保2.0——Windows身份鉴别》来查看。

强制密码过期

也可以使用SQL语句：select * from sys.sql_logins; 进行核查，如下图所示：

SQL语句核查

这里的is_expiration_checked就是强制密码过期策略，1代表生效，0代表不生效。

至于登录连接超时自动退出等相关措施，我们可以使用SQL语句：sp_configure 'remote login time'进行查询，如下图所示：

远程登录时间

这里的“remote login timeout（s）”值表示远程登录数据库时登录超时时间限制，可以根据实际要求设置相应的最小最大值。

五、测评项c

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

从SQL Server 2005开始，SQL Server默认会对与登录关联的网络数据包进行加密，我们也可以在SQL Server配置管理器中的SQL Server网络配置中的SHTECSQLEXPRESS的协议的属性中进行设置强行加密，就可以对SQL Server和客户端之间的所有数据包传送进行加密，如下图所示：

强行加密

六、测评项d

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

这一项对于SQL Server来说是没有对应的配置的，也就是说如果不使用第三方身份鉴别工具，对于SQL Server而言，这一项就是0分，高危风险项里边有一项就是双因素认证，表明如果这一项为0分，就可能测评结果为差而不通过，但是要判定为高风险项必须同时满足：

1、3级及以上系统；

2、重要核心设备、操作系统等通过不可控网络环境远程进行管理；

3、设备未启用两种或两种以上鉴别技术对用户身份进行鉴别；4级系统多种鉴别技术中未用到密码技术或生物技术。

同时也有许多补偿措施：

1、如设备通过本地登录方式（非网络方式）维护，本地物理环境可控，可酌情降低风险等级。

2、采用两重用户名/口令认证措施（两重口令不同），例如身份认证服务器、堡垒机等手段，可酌情降低风险等级。

3、如设备所在物理环境、网络环境安全可控，网络窃听、违规接入等隐患较小，口令策略和复杂度、长度符合要求的情况下，可酌情降低风险等级。

4、可根据被测对象的作用以及重要程度，根据实际情况，酌情判断风险等级。

测评时可以根据实际情况来判断，以上就是一项一项教你测等保2.0——SQL Server身份鉴别的所有内容，希望对大家有所帮助，欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。