8.6　C2与通用准则

8.6　C2与通用准则

8.6.1　C2 审核模式

　　C2 等级（Class C2）是美国的国家计算机安全中心（NCSC）建立的一种安全等级，获准通过国防部的可信计算机安全评价标准（Trusted Computer Systems Evaluation Criteria，简称 TCSEC）。

　　C2 等级保证最小的允许的安全要求等级。它将产生大量的事件信息，所以对性能有负面的影响。

　　C2 审核模式仍可在 SQL Server 中配置，但是它现在很少使用，或者甚至说它不适于使用。C2 安全标准已经由通用准则认证所取代。请避免在新的开发工作中使用该功能。

　　如果启用此项，将审核对语句和对象的所有访问尝试（包括成功的访问和失败的访问尝试），并记录到文件中，这些信息有助于系统管理员了解该实例的活动并跟踪可能的安全策略冲突。

　　例如，对于默认实例，审核文件将位于 \MSSQL\Data 文件夹；对于命名实例，审核文件将位于 \MSSQL$<实例 ID>\Data 文件夹。

　　C2 审核模式会将大量事件信息保存在日志文件中，可能会导致日志文件迅速增大。如果审核日志文件超过 200MB，该实例将创建一个新文件，关闭旧文件。如果保存审核日志的磁盘空间不足，该实例将自动关闭。

　　可以在 SSMS 中打开服务器（实例）的属性窗口，在“安全性”选项卡中修改此项配置。

　　也可以使用 sp_configure 中的 c2 audit mode 选项来配置 C2 审核模式。

8.6.2　通用准则

　　通用准则（Common Criteria）于1999年被批准成为一个国际标准，现在为 ISO15408。它实现下列3个元素：

◆ 残留信息保护

　　残留信息保护（Residual Information Protection，简称 RIP）要求将内存重新分配给新资源之前，用已知的位模式（pattern of bits）覆盖内存分配。满足 RIP 标准有助于提高安全性；然而，覆盖内存分配会使性能降低。

◆ 查看登录统计信息的能力

　　此元素要求每次在用户成功登录时，系统都将提供有关上一次成功登录的时间、上一次登录失败的时间，以及上一次成功登录和当前登录时间之间尝试登录的次数等信息。

◆ GRANT 列不应覆盖 DENY 表

　　默认情况下，对 GRANT 某一列的授权将覆盖 DENY 表的授权，即列级的 GRANT 授权将优先于表级 的 DENY 授权。启用此选项之后，表级 DENY 授权将优先于列级 GRANT 授权。

　　可以在 SSMS 中打开服务器（实例）的属性窗口，在“安全性”选项卡中启用或者禁用“符合启用通用条件”（Common Criteria Compliance Enabled）选项。也可以使用 sp_configure 中的 common criteria compliance enabled 选项来启用此选项。

提示：

　　除启用此选项外，还必须从 Microsoft SQL Server Common Criteria 网站下载并运行一个脚本，以完成对该实例的配置，从而符合通用准则“评估保证级别4+”（EAL4+）。