服务器开启审计功能(服务器安全审计)-三无反资讯网

　　一、前言只要是信息系统，就需要运行所必需的系统环境，而Windows和Linux系统是现在使用最为广泛的主机操作系统，前边我们已经讲了等保测评2.0主机系统方面的测评项要求，大家有兴趣的可以翻阅我之前的文章。

　　而信息系统只要运行，就会产生数据，产生数据就需要存储，数据库就是另一个所有信息系统所必需的，数据是信息系统最重要的东西，所以数据库的安全就是保障数据安全的重要的屏障，现在市面上有许多数据库产品，其中使用比较广泛的就是SQLServer数据库，今天我们就来讲一讲等保测评2.0中对SQL Server数据库有哪些安全要求。

　　服务器开启审计功能(服务器安全审计)

　　SQLServer数据库

　　二、测评项a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

　　b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

　　c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

　　d)应对审计进程进行保护，防止未经授权的中断。

　　三、测评项aa)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

　　SQL Server数据库是默认开启错误日志的，在数据库管理-SQL Server日志中可以查看，如下图所示：

　　服务器开启审计功能(服务器安全审计)

　　SQL Server错误日志

　　错误日志大概记录的内容：

　　3.1 日志自动记录的信息大概有如下：

　　(1) SQL SERVER 的启动参数，以及认证模式，内存分配模式。

　　(2) 每个数据库是否能够被正常打开。如果不能，原因是什么?

　　(3) 数据库损坏相关的错误

　　(4) 数据库备份与恢复动作记录

　　(5) DBCC CHECKDB记录

　　(6) 内存相关的错误和警告

　　(7) SQL调度出现异常时的警告。一般SERVER Hang 服务器死机会伴随着有这些警告

　　(8) SQL I/O操作遇到长时间延迟的警告

　　(9) SQL在运行过程中遇到的其他级别比较高的错误

　　(10) SQL内部的访问越界错误（Access Violation）

　　(11) SQL服务关闭时间

　　(12) SQL SERVER版本，以及windows和processor基本信息。

　　3.2 日志开启跟踪能看到的信息

　　(1) 所有用户成功或失败的登入

　　(2) 死锁及其参与者的信息。跟踪标志1222 或1204

　　3.3 日志不能记录的问题

　　(1) 阻塞问题。只要阻塞还没有严重到影响线程调度，日志里是不会体现的。

　　(2) 普通性能问题,超时问题。

　　(3) windows层面异常。

　　错误日志记录的内容有限，不能对重要的用户行为和重要安全事件进行审计，所以此项要求SQL Server数据库默认设置不能符合要求，如果想要符合要求，在数据库-数据库审核规范和安全性-服务器审核规范里边设置，如下图所示，因为在之前的测评过程中没有单位设置过此项，我也没有设置案例，有兴趣的可以自行查询设置方法。

　　服务器开启审计功能(服务器安全审计)

　　审核规范

　　四、测评项bb)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

　　上一测试项我们知道SQL Server数据库是默认开启错误日志的，而错误日志包含日期、源、消息、日志类型、日志源这些字段，并不能满足此项要求，要想满足此项要求，也必须设置审核规范，说到日期和时间，SQL Server数据库必须保障日志所记录的时间与实际相符，而SQL Server数据库的时间机制是与Windows系统一致的，那就要看Windows系统的时间设置了。

　　服务器开启审计功能(服务器安全审计)