技术文摘
当前位置:主页 > 技术文摘 >
等保测评20:SQLServer身份判别(下)
来源:本站 作者:king 浏览: 时间:1970-01-01 08:00

  d)应采用口令、暗码身手、生物本领等两种或两种以上聚集的区别身手对用户举办身份区别•,且此中一种鉴识武艺至少应使用暗号本领来已毕。

  d)应采纳口令、密码技艺、生物技能等两种或两种以上召集的区别技能对用户举行身份鉴识•,且此中一种辨别技术至少应使用密码技术来实行••。

  昔时我们继续感觉SQLServer的识别音信(数据库相接字符串)假设不进程分外管理在网络传输历程中是明文传输的。

  后来上钩查了下,网上提到叙:联机从书上提到过从SQL Server 2005起首,SQL Server和客户端的相接是自动加密的

  我去翻了下SQLServer 2008 R2的联机丛书,上面准确提到,SQL Server 悠久对与登录相关的收集数据包加密:

  只是,要抗御•:SQLServer主动禀赋的证书是一种自出面的证书,而颠末自出面证书已毕的SSL并不能提供很强的安宁性。

  同时•,固然默认会对与登录合系的网络数据包加密•,可是对与登录无合的收集数据包是默认不加密的:SQL Server 连结加密 (2) — SQL Server connection encyption•。

  只是该测评项也仅仅但是哀告注意识别讯歇在汇集传输流程中被窃听,因而与登录无合的收集数据包是否加密,不在这里思索••。

  当把该选项设备为是之后,SQL Server就会哀求对扫数它和客户端之间的数据包传送举办加密•,无论客户端是否设备为乞求加密。此时用来加密的密钥仍旧是之前在修设连结阶段行使的证书•。

  当把该选项修树为是之后,SQL Server就会哀求对全体它和客户端之间的数据包传送实行加密•,不管客户端是否部署为乞请加密。此时用来加密的密钥依旧是之前在筑立衔尾阶段运用的证书。

  那么是否对某客户端的悉数传输过来的数据实行加密就完备取决于客户端的摆设,也便是客户端的数据库相连驱动的设备。在Configuration Manager中,能够树立SQL Native Client铺排。当SQL Native Client部署属性中的逼迫加密为是的话,就注脚客户端哀告加密数据包。此时客户必然要信任SQL Server端的证书(也便是信赖效劳器证书为是),否则结合无法修立。其它,需要防备的是,此处的配置只对应用Native Client的客户端举措有收获。其我驱动举措也会有呼应的本事分别作安排。如ODBC驱动就可能始末Cliconfg节制台来摆设,等等

  那么是否对某客户端的全数传输过来的数据举行加密就齐备取决于客户端的布置,也就是客户端的数据库贯串驱动的设备。在Configuration Manager中,可以设置SQL Native Client安排。当SQL Native Client摆设属性中的抑制加密为是的话,就阐明客户端哀求加密数据包。此时客户决定要信任SQL Server端的证书(也就是信托供职器证书为是),否则衔尾无法开发•。其余,供给防范的是,此处的配置只对操纵Native Client的客户端步调有劳绩。其我们驱动手腕也会有反映的手段星散作陈设。如ODBC驱动就可能经由Cliconfg控制台来摆设,等等

  因而压榨加密的第一个感导是可以使用自己设备的证书,第二个感动就对多总共的搜集传输数据举办加密。

  使用自出头证书加密的 SSL 结合不需要强安静性。它们便当在传输中途受到袭击•。在临盆境况中或在连接到 Internet 的效劳器上,不应仰仗使用自出头证书的 SSL。

  行使自签名证书加密的 SSL 相联不提供强和平性•。它们便利在传输中途受到抨击。在临盆情状中或在邻接到 Internet 的供职器上,不应依附使用自签名证书的 SSL。

  该测评项对付默认形式下的SQLServer应该属于局限符关,出处默认景况下SQLServer对于收集传输流程中的判别音信是加密的,只不过安定性不高•。

  例如焦点件和数据库处于联合台服务器A上,客户端能够欣赏器不会直连数据,而是发送恳求到http接口到A,A再衔尾处于要塞的数据库获取数据•,未爆发过数据库甄别新闻的收集传输,那么这个测评项应判定为不适用不妨符合。

  又恐怕中间件地址任职器A和数据库所在效劳器B处于同一内网中,任职器A授与到哀求后,发送数据库的识别讯歇到任事器B,外网的设备对比难获取到辨别新闻(更别说鉴别讯休也不是明文传输的)•,应该鉴定为局部符闭可以符合。

  又可能,当然数据库自身没有举行什么部署,然而客户端是直连数据库的(某一些C/S架构的软件确实会如斯),可是客户端利用了SSL等同意实行了收集传输数据的加密,那么也应该是个人符合恐怕符关。

  好吧,由于等第扞卫2.0去掉了0-5分的分数制,因此固然有很多种情况,可是判断完毕唯有符合、局限符闭、不符合、不合用,因此辨别得这么细在鉴定下场处分辨不大。

  d)应接纳口令、暗码身手•、生物武艺等两种或两种以上聚集的鉴别本领对用户举办身份鉴别,且此中一种鉴识本事至少应运用密码技术来完成。

  d)应领受口令、密码技术、生物技艺等两种或两种以上组合的识别本事对用户举办身份识别,且其中一种识别技艺至少应运用暗码技艺来杀青。

  好吧,直接告终SQLServer数据库双成分认证的本事所有人们没找到•,顶多也就是可以应用证书对保管流程实行拜访束缚:利用证书为存在历程具名。

  绝大个别的被测评单位在SQLServer数据库的这一个测评项处,只能得0分,但是也无须过于介怀。

  该测评项属于平安盘算环境这个安适类,其测评想法包括了数据库、效劳器和末了的使用体制、运用体例、安适建立、网络征战等等,凭据等第护卫2•.0的圭表,周旋3级和以上的式样,惟有此中一个作战在该测评项处得0分,那么就可以属于高危险项,测评结论刹那就酿成差了。

  以是赞同品级珍惜圭表的行家们斟酌到这一点,在收集平安等第包庇测评高告急判定率领(2019定稿)中留下了许多的口子(个人明白)。

  知足条目中指明•,属于3级和3级以上体系•,且被测评计划属于紧要中心兴办等通过不行控搜集情况远程举办办理,而后同时未结束双身分认证的•,可判决为高危险项。

  被测评项办法属于合键中间筑筑,这个也不消多谈,被抽选出来的测评项对象,其关键性一般都不低(否则他选它干嘛)。

  进程不行控汇集景况远程举行办理•,这个有些用,对付数据库•,不确信生活远程连合的举止,这一点他们上面的文章有途。就算生活远程毗邻的行动,是否就处于不可控收集环境呢•?也不决定的。

  到这里•,就算条款都满意了••,属于高紧张项,也生活许多的弥补门径•,对该高危险项目实行窜改,这些填充措施都是现实可行的,绝不是无法举行的,这里就不整个的分析了。

  在实际责任中,给测评师们低沉了实践的难度,也裁减了和被测评单位扯皮的概率•,也算是品级爱戴2.0的一种进步吧。

币安网app官方下载
TEL:024-83863563

QQ 30999233@qq.com
地址: 沈阳市沈河区文化东路10号步阳国际大厦B1座11-28室

海风微信公众平台