全部博文(35)
分类: 网络与安全
2009-09-26 11:51:47
| 脆弱性列表 | 严重程度 |
| 没有为应用系统创建专用账号; | 高 |
| 没有将应用程序帐号、开发用帐号、管理员账号分离; | 高 |
| 应用程序账号的角色和特权分配过大; | 高 |
| 数据库部分默认账号的默认口令未更改; | 高 |
| 自定义账号存在弱口令问题; | 高 |
| 缺乏针对业务数据的备份策略; | 高 |
| 磁带备份策略没有覆盖了所有的业务数据库范围; | 高 |
| 主、从数据库服务器上的部署不一致; | 高 |
| 数据文件存放在Windows系统分区; | 高 |
| 数据库管理分工不明确,部分数据库系统的管理工作无人负责 ; | 高 |
| 数据库版本没有及时更新; | 中 |
| 缺乏对跟踪文件和归档日志文件的清理和备份策略; | 中 |
| 日志文件的访问控制设置不合理; | 中 |
| 被测数据库没有打开数据库审计功能; | 中 |
| 审计选项设置不合理; | 中 |
| 控制文件、数据文件等访问权限设置过大; | 中 |
| 数据库系统中存在无用帐号; | 中 |
| 多个相对独立的业务模块使用同一个应用程序账号; | 中 |
| 存在无用的方案、表、视图、存储过程等; | 中 |
| 无关IP地址可直接访问数据库服务; | 中 |
| 测数据库处于非归档模式; | 中 |
| 系统目前处于开发调试阶段,开发商对数据库的逻辑备份策略不完善和明确; | 中 |
| 备份策略没有得到有效实施; | 中 |
| 数据库管理系统安装在Windows系统分区; | 中 |
| 备份数据访问访问控制设置不合理; | 中 |
| 数据文件存放在本地硬盘,没有配置存储网络等; | 中 |
| 未开启系统资源限制; | 中 |
| 未对表空间份额进行分配; | 中 |
| 缺乏有效的审计数据溢满处理方式; | 中 |
| 缺乏有效的审计安全策略; | 中 |
| 未启用程序监听操作口令; | 中 |
| 没有启用加密措施; | 中 |
| 数据库的日志文件存放在默认路径; | 低 |
| 没有针对用户定制profile; | 低 |
| 口令锁定功能、口令复杂度验证功能、口令有效期等功能未启用; | 低 |
| 数据库没有冗余服务机制; | 低 |
| 没有负载均衡机制; | 低 |
| 脆弱性列表 | 严重程度 |
| 登陆审计级别设置不合理; | 高 |
| 数据库没有安装在NTFS分区上; | 高 |
| sa账号空口令或弱口令; | 高 |
| 没有为应用系统创建专用帐号; | 高 |
| 没有将应用程序用帐号、开发用帐号、管理员帐号分离; | 高 |
| 自定义帐号存在弱口令问题; | 高 |
| 应用程序账号被授予服务器角色; | 高 |
| 应用程序账号的数据库角色授权不当; | 高 |
| 针对业务数据缺乏完善的备份和恢复策略; | 高 |
| 缺乏对审计日志的查阅; | 中 |
| 缺乏对审计日志的备份策略 | 中 |
| 对数据库文件、配置文件、日志文件等重要数据访问控制设置不当 | 中 |
| 数据库中存在无用数据库、账号、表、视图等残余信息; | 中 |
| 使用混合认证模式; | 中 |
| 在master和tempdb以外的数据库中存在guest帐号 | 中 |
| 多个相对独立的业务模块使用同一个应用程序帐号; | 中 |
| 对备份数据的访问控制设置不合理; | 中 |
| 没有对数据库端口访问进行限制,允许无关IP访问到服务器; | 中 |
| 没有升级最新的版本; | 中 |
| 缺乏审计数据溢满处理方式; | 中 |
| 缺乏有效的审计安全策略; | 中 |
| 冗余机制没有得到有效实施; | 中 |
| 没有开启c2级审计模式; | 低 |
| 安全审计数据存放在默认位置; | 低 |
| 示例数据库没有删除; | 低 |
| 对public 角色的权限分配不当; | 低 |
| 缺乏服务冗余策略和机制; | 低 |
| 开启了SQL邮件功能; | 低 |
| SQL SERVER被配置为发布服务器或分发服务器; | 低 |
| 未采用专门存储空间存放存放日志文件; | 低 |
