- 기본체크
01. 시스템 관리자 권한은 DBA만 지정
02. DBA의 사용 계정이 서비스를 위해 활용되지 않음
03. 각 DB계정이 사용할 수 있는 DB로 지정하고 최소권한 설정
04. 정기적인 계정 관리로 불필요 계정의 사용 차단 (가장 중요한 부분)
05. SQL서버를 사용하기 위한 계정 접근IP관리
06. DC 나 IIS와 같은 서버에서 사용 하지 않음
07. NTFS 파티션 사용 (요즘 FAT32는 안쓸텐데...)
08. NetBIOS over TCP and SMB 사용 안함 (PORT: 135,445)
09. SQL서버 전용 계정 생성 및 관리
10. sa 계정은 사용 안함 및 이름 변경
11. 예제 데이터베이스 설지 안함
12. 설치 Log 및 스크립트 제거
13. xp_cmdshell 사용 안함 (기타 보안에 취약한 확장저장 프로시저 존재)
14. 디폴트 Trace 감시
- 개발체크
01. SQL-injection 방어 코드 (client side script - x, server side script)
02. Web Page에 errorPage 보이지 않게 함 (error page에 db정보 노출가능 - error based SQL Injection)
03. 가능한 동적 쿼리 사용을 최소화
04. 데이터베이스 또는 로컬 디스크에 암호화되지 않은 Password 보관X
05. 컬럼 레벨 보안 보다는 뷰를 사용
06. guest 계정 사용 안함
07. 사용자에게 create object 권한 주지 않음
08. 권한 승계되도록 프록시 어카운트 사용
09. sa 사용 안함 (web과 연동되어 있을 때, 치명적임)
- 관리체크
01. 화면보호기 암호 설정
02. 안전한 백업 정책(암호사용 등)
03. 사용자 계정의 최소 권한 및 정기적 암호변경 수행
04. 로그인 감사
05. 불법적인 권한 획득 감사 (어떤 방법으로?)
06. 강력한 암호 정책 (9자 이상 영수특 혼용, 변경 주기 30일)
07. 보안 감사 수행
08. 보안 패치 수행
09. 프로시저 권한 중에 execute as caller 외의 것이 있는지 확인
10. 시작프로시저 사용 여부
붉은 색은 개인적인 코멘트
'ASP 개발' 카테고리의 다른 글
| [MS-SQL] 조인 방식 (Join Method) (0) | 2015.11.16 |
|---|---|
| 윈도에서 리눅스 파일시스템(EXT3, EXT4) 불러오기 - Ext2FSD (0) | 2015.11.12 |
| 저장용 페이지 (0) | 2015.10.29 |
| [ASP.NET] 엑셀 ConnectString (0) | 2015.10.29 |
| 엑셀 upload 시 문자가 255자로 잘리는 경우 (0) | 2015.10.29 |