【摘要】SQLServer是一種數(shù)據(jù)庫管理系統(tǒng)，它是為了分布式客戶機/服務器所設計的，是一種高性能的數(shù)據(jù)庫管理系統(tǒng)。由于SQLServer的應用非常廣泛，如何保證SQLServer數(shù)據(jù)庫應用程序的安全問題成為一個技術研究方向。本文深入淺出地介紹SQLServer數(shù)據(jù)庫，分析SQLServer數(shù)據(jù)庫的安全機制，介紹SQLServer有哪些安全設置及其如何部署配置。

　　【關鍵詞】SQLServer,數(shù)據(jù)庫,安全機制

　　1引言

　　數(shù)據(jù)庫是ERP系統(tǒng)、電子商務系統(tǒng)及其重要商業(yè)系統(tǒng)的基礎。所有上層的界面展現(xiàn)都離不開數(shù)據(jù)庫。數(shù)據(jù)庫一旦遭到破壞與安全攻擊，對整個外圍系統(tǒng)的使用影響是巨大的，甚至是毀滅性的。SQLServer作為最受歡迎的數(shù)據(jù)庫系統(tǒng)之一，自己有層層的安全保護機制來保護數(shù)據(jù)庫中數(shù)據(jù)的安全。

　　2簡介

　　2.1SQLServer數(shù)據(jù)庫

　　數(shù)據(jù)庫，即電子化的文件柜。它是各種電子文件的存儲區(qū)，將各種數(shù)據(jù)以一定的方式存儲在一起，并提供外部訪問的接口，如增加、刪除、更新、查看等操作。

　　SQLServer數(shù)據(jù)庫是微軟公司的一款關系型數(shù)據(jù)庫系統(tǒng)。它專門為分布式客戶機/服務器計算所設計的一個出眾的數(shù)據(jù)庫管理平臺。它的優(yōu)勢是可擴展性，高性能管理，支持堆成多處理結構，ODBC和存儲過程，強壯的事物處理能力，支持SQL語句。其中SQL語句可以執(zhí)行如從數(shù)據(jù)庫中提取數(shù)據(jù)，更新、刪除數(shù)據(jù)庫中的數(shù)據(jù)等等各種各樣的操作，可以用來完成幾乎所有的數(shù)據(jù)庫操作。

　　2.2數(shù)據(jù)庫安全

　　本文主要是針對數(shù)據(jù)而言的，是指保護數(shù)據(jù)庫防止黑客入侵數(shù)據(jù)庫盜取資料、防止對數(shù)據(jù)庫信息進行非法更改、破壞數(shù)據(jù)。對于數(shù)據(jù)庫系統(tǒng)的安全主要要求有三點：數(shù)據(jù)完整性、數(shù)據(jù)保密性和數(shù)據(jù)可用性。如圖1所示。

　　數(shù)據(jù)完整性即數(shù)據(jù)邏輯完整性，包括數(shù)據(jù)的操作完整性和語義完整性。操作完整性指的是在并發(fā)事務中能夠保證數(shù)據(jù)的一致性。語義完整性指的是存取操作時保證邏輯上的完整性約束。

　　數(shù)據(jù)保密性要求對訪問用戶進行安全授權，不同權限的用戶訪問數(shù)據(jù)庫的操作等級不同。數(shù)據(jù)保密性還會防止數(shù)據(jù)庫中的數(shù)據(jù)不被非法獲取及其破壞，保護數(shù)據(jù)只能被授權用戶進行正常訪問，同時還會對授權的用戶進行跟蹤和監(jiān)察。

　　數(shù)據(jù)可用性指的是它不應該拒絕安全授權用戶的正常訪問。

　　3數(shù)據(jù)庫面臨的安全威脅

　　影響數(shù)據(jù)庫安全的威脅有很多，如操作系統(tǒng)本身被非法侵入也會導致數(shù)據(jù)庫存在安全隱患。本文重點分析數(shù)據(jù)庫本身存在的安全威脅，不考慮操作系統(tǒng)及其硬件損壞威脅。數(shù)據(jù)庫面臨的安全威脅主要有身份驗證方案薄弱、拒絕服務DOS和數(shù)據(jù)庫通信協(xié)議漏洞。如圖2所示。

　　身份驗證方案薄弱。如果登錄數(shù)據(jù)庫的身份驗證方案比較薄弱，則黑客可以很多方式獲取到授權憑證，如通過枚舉用戶名/密碼的方式猜測到用戶授權，進行正常的數(shù)據(jù)庫訪問。

　　拒絕服務DOS指的是正常用戶登錄服務器后，服務器提示拒絕訪問，使得數(shù)據(jù)庫不具備數(shù)據(jù)可用性。常見的拒絕服務攻擊技巧包括資源過載、數(shù)據(jù)破壞、網(wǎng)絡泛洪等，它是一個比較寬泛的攻擊種類，很多都與數(shù)據(jù)庫本身的漏洞有關。

　　數(shù)據(jù)庫通信協(xié)議漏洞。數(shù)據(jù)庫本身存在很多安全漏洞，隨著各個公司對自身數(shù)據(jù)庫產(chǎn)品不斷打補丁的方式，彌補了很多數(shù)據(jù)庫安全漏洞。很多漏洞與協(xié)議有關，由于數(shù)據(jù)庫自身審計機制不會審計關于協(xié)議的操作，所以協(xié)議漏洞應該更加引起數(shù)據(jù)庫管理員的重視。如SQLSlammer2蠕蟲漏洞就是利用了SQLServer協(xié)議中的漏洞實施拒絕服務攻擊。

　　其他威脅。除了上述的主要威脅外，數(shù)據(jù)庫還面臨很多其他威脅，如濫用合法權限導致的數(shù)據(jù)庫信息被竊取、修改；審計記錄功能不足，備份數(shù)據(jù)被泄露等威脅。

　　4SQLServer安全機制

　　4.1SQLServer的安全驗證模式

　　對于身份驗證模式，SQLServer提供了兩種認證方式：Windows身份認證模式和混合身份認證模式。如圖3所示。Windows身份認證模式，即使用Windows中的其中一個用戶登錄到SQLServer數(shù)據(jù)庫中。SQLServer中的用戶名和密碼與Windows用戶的用戶名和密碼完全相同。數(shù)據(jù)庫的身份驗證完全依靠Windows用戶的安全驗證。當用戶一旦通過Windows的安全驗證后，則就能夠有權進入SQLServer數(shù)據(jù)庫中。

　　混合身份認證模式，即同時使用Windows的身份驗證和SQLServer的身份驗證。根據(jù)通信時使用的網(wǎng)絡庫來決定具體采用哪種方式進行驗證。若用戶使用命名管道登錄則使用Windows身份驗證，若用戶使用TCP/IPsockets登錄則使用SQLServer身份驗證。

　　Windows身份認證是程序安裝時，在SQLServer加入了BUILTIN＼Administrators用戶名，這時可以采用Windows認證登錄SQLServer，與混合身份認證模式的差別是Windows混合登陸是用Windows使用的默認用戶名登錄，有sa權限，而選則身份認證時使用的是自己設置的用戶名。遠程采用Windows身份認證時，需要將登錄的計算機管理員用戶加入到服務器端的信任列表中，并賦予其本機admin權限。

　　4.2審計

　　數(shù)據(jù)庫審計是指當用戶對數(shù)據(jù)庫進行各種操作時，審計功能會實時監(jiān)視和記錄用戶的行為。審計功能對數(shù)據(jù)庫管理員來說是非常有價值的。通過審計機制，可以隨時查看用戶行為，便于追查責任，對于不正常的用戶行為可以及時的制止，同時審計功能還有助于發(fā)現(xiàn)數(shù)據(jù)庫安全方面的漏洞和弱點。一般通過SQL的事件探查器完成審計工作，由管理員權限用戶進行。

　　審計可以在服務器和數(shù)據(jù)庫級別上或者針對個別數(shù)據(jù)庫對象實現(xiàn)，并以不同的格式保存記錄，如二進制文件或Windows應用程序日志。在SQLServer的指定實例中創(chuàng)建一個SQLServer的審計。SQL語句如下：

　　createserverAUDITuserAuditTOFILE（FILEPATH='D：＼audit'，MAXSIZE=10MB）with（QUEUE_DELAY=5000）。

　　4.3訪問控制

　　訪問控制指的是數(shù)據(jù)庫對于每個用戶設定了嚴格的訪問權限。SQLServer將用戶分為不同等級：一般用戶、數(shù)據(jù)庫對象擁有者用戶、數(shù)據(jù)庫所有者用戶和系統(tǒng)管理員用戶四大等級。不同等級的用戶操作數(shù)據(jù)庫的權限不同。SQL授權語句可以把語句權限或者對象權限授予給其他用戶和角色。如下：

　　GRANT{ALL|statement[，...n]}TOsecurity_account[，...n]。

　　4.4其他安全機制

　　SQLServer安全機制還有視圖和存儲過程機制、數(shù)據(jù)庫加密機制等。視圖是從一個或幾個基本表（視圖）中導出的虛表。在數(shù)據(jù)庫系統(tǒng)中，可以利用視圖通過授予用戶操作特定視圖的權限。限制用戶訪問表的特定行和特定列來保證數(shù)據(jù)的安全，防止用戶對基本表的操作，實現(xiàn)行級或列級的安全性。SQLServer中存儲過程是存儲于數(shù)據(jù)庫內(nèi)部經(jīng)過編譯可執(zhí)行的SQL語句，它可被其他應用程序調用執(zhí)行。徹底隱藏了用戶可用的數(shù)據(jù)和數(shù)據(jù)操作中涉及的某些保密處理。SQLServer使用哈希函數(shù)來加密隱藏用戶存儲在Master數(shù)據(jù)庫中系統(tǒng)表內(nèi)的密碼，將已定義的視圖、存儲過程、觸發(fā)器等都存儲在系統(tǒng)表syscomments中，SQLServer提供了內(nèi)部加密機制。

　　5結束語

　　數(shù)據(jù)庫通常保存著學校、企業(yè)、政府和其他部門的重要信息，數(shù)據(jù)庫的安全性是非常重要的。盡管計算機系統(tǒng)本身和數(shù)據(jù)庫本身都有嚴格的安全防御措施，但是還需要管理、人為和法律等各個方面的配合，特別是數(shù)據(jù)庫管理人員應該對數(shù)據(jù)庫安全進行足夠的重視，提高數(shù)據(jù)庫安全防范意識。在計算機安全機制技術不斷完善的同時，人員安全防范意識也需要不斷加強，這樣數(shù)據(jù)庫的安全才會越來越有保障。

　　參考文獻

　　[1]夏代提古麗·克依木.關于網(wǎng)絡環(huán)境下數(shù)據(jù)庫安全機制問題的若干思考[J].時代教育，2012.19.

　　[2]谷震離，杜根遠.SQLServer數(shù)據(jù)庫應用程序中數(shù)據(jù)庫安全性研究[J].計算機工程與設計，2007.15.

　　[3]朱林，王峰，張曉潔，裴廣紅.淺談網(wǎng)絡數(shù)據(jù)庫的安全性[J].電腦知識與技術，2011.29.

　　[4]王玉國，李啟鵬.SQLServer的安全機制分析及實現(xiàn)建議[J].通化師范學院學報，2004.10.

　　[5]懷艾芹.基于SQLServer的高校OA系統(tǒng)數(shù)據(jù)庫安全技術研究[J].計算機與數(shù)字工程，2010.10.

　　[6]謝志宇，鄭林華，王梓斌.SQLServer數(shù)據(jù)庫的安全設計與應用[J].電腦知識與技術，2006.32.

---

轉載請注明來自：http://www.jinnzone.com/jisuanjiyingyonglw/29908.html