취약점 개요
■ 위험도
- 상
■ 점검 목적
- 데이터, 로그, 응용프로그램에 대한 감사 기록 정책을 수립하고 적용하여 데이터베이스에 문제 발생 시 원활하게 대응하고자 함
■ 보안 위협
- 감사기록 정책이 설정되어 있지 않을 경우, 데이터베이스에 문제 발생 시 원인을 규명할 수 있는 자료가 존재하지 않아 이에 대한 대체 및 개선방안 수립이 어려움
점검 및 조치 방법
■ 판단 기준
양호: DBMS의 감사 로그 저장 정책이 수립되어 있으며, 정책이 적용되어있는 경우 취약: DBMS에 대한 감사 로그 저장을 하지 않거나, 정책이 수립되어있지 않은 경우
■ 조치 방법
DBMS에 대한 감사 로그 저장 정책 수립, 적용
■ Oracle
데이터베이스 감사 기록 정책 및 백업 정책 수립
■ MSSQL
데이터베이스 감사 기록 정책 및 백업 정책 수립
∎ MSSQL 2000
DB 접근에 대한 보안 감사를 할 수 있도록 보안 감사 설정
[SQL SERVER]> [등록정보]> [보안]탭> [감사수준]에서 ‘모두’ 선택
[MSSQL2005]> [오른쪽 마우스 클릭]> [속성]> [보안탭]> [로그인 감사] 옵션>
’실패한 로그인과 성공한 로그인 모두’ 선택
∎ MSSQL 2008 / 2012
[시스템 이름]> [오른쪽 마우스 클릭]> [속성]> [보안탭]> [로그인 감사] 옵션>
’실패한 로그인과 성공한 로그인 모두’ 선택