SQL server數(shù)據(jù)庫的安全和管理策略探討

摘 要：SQL server數(shù)據(jù)庫在信息計(jì)算機(jī)信息儲(chǔ)存和管理中起著非常重要的作用，隨著SQL server數(shù)據(jù)庫應(yīng)用的發(fā)展，SQL server數(shù)據(jù)庫的安全和管理越來越引起人們的重視，本文針對SQL server數(shù)據(jù)庫的安全與管理問題，首先分析了數(shù)據(jù)庫的安全漏洞與機(jī)制，在此基礎(chǔ)上提出了如何對數(shù)據(jù)庫進(jìn)行安全設(shè)置和對數(shù)據(jù)庫進(jìn)行有效管理的策略和建議，從而幫助數(shù)據(jù)庫管理員有效的實(shí)現(xiàn)數(shù)據(jù)庫的安全和管理。

關(guān)鍵詞：數(shù)據(jù)庫；安全；管理

中圖分類號(hào)：TP311.138 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 23-0000-02

1 引言

SQL server數(shù)據(jù)庫是各種數(shù)據(jù)庫中應(yīng)用最為廣泛的一種關(guān)系型數(shù)據(jù)庫，它在很多信息管理系統(tǒng)中都有著廣泛的應(yīng)用，可以說它是程序員在進(jìn)行數(shù)據(jù)庫設(shè)計(jì)時(shí)的首選數(shù)據(jù)庫。隨著SQL server數(shù)據(jù)庫的廣泛應(yīng)用和黑客技術(shù)水平的迅速提高，SQL server數(shù)據(jù)庫的安全和管理策略越來越引起人們的重視。

SQL server數(shù)據(jù)庫屬于端口型數(shù)據(jù)庫，黑客可以通過不同途徑和利用各種非法手段通過不同端口進(jìn)入數(shù)據(jù)庫竊取或者破壞信息，從而給企業(yè)或者個(gè)人帶來巨大的損失。因此，必須要深入的研究和探討SQL server數(shù)據(jù)庫的安全與管理策略。

2 數(shù)據(jù)庫的安全漏洞與機(jī)制

任何一個(gè)系統(tǒng)都不可能盡善盡美。對SQL server數(shù)據(jù)庫而言也是如此，SQL server數(shù)據(jù)庫的安全漏洞通常是由于實(shí)施不規(guī)范或者設(shè)置不規(guī)范造成的。比較常見的和數(shù)據(jù)庫有關(guān)的安全漏洞比如：SQL注入、數(shù)據(jù)泄密、不良的口令政策、不適當(dāng)?shù)腻e(cuò)誤處理等。數(shù)據(jù)庫的安全漏洞最直接的影響就是威脅到自身的數(shù)據(jù)安全，更長遠(yuǎn)的可以威脅到自身的操作系統(tǒng)。所以，要想制定數(shù)據(jù)庫的安全與管理策略，必須首先了解數(shù)據(jù)庫的各種安全漏洞。

①2.1 數(shù)據(jù)庫的安全缺陷

SQL server數(shù)據(jù)庫安全機(jī)制最直接的相關(guān)問題就是數(shù)據(jù)庫的安全缺陷問題。在最初對SQL server數(shù)據(jù)庫進(jìn)行安全管理機(jī)制配置時(shí)，微軟公司已經(jīng)做了全面的安全管理配置，但是仍然存在一些沒有考慮到的情況和缺陷。

SQL server數(shù)據(jù)庫安全缺陷通常有兩個(gè)方面。一方面是由系統(tǒng)自身引起的，比如系統(tǒng)配置不正確或者自身存在安全漏洞，由于計(jì)算機(jī)的硬件和軟件以及協(xié)議在具體的設(shè)計(jì)和實(shí)現(xiàn)過程中存在缺陷，從而引起了數(shù)據(jù)庫系統(tǒng)安全的各種漏洞；另一方是由數(shù)據(jù)庫管理人員和用戶自身的操作不當(dāng)或者缺乏安全意識(shí)造成的，這方面是數(shù)據(jù)庫安全事件中最普遍存在的原因。一些用戶在進(jìn)行數(shù)據(jù)庫操作時(shí)往往使用默認(rèn)口令或者簡單的口令，這些口令很容易被黑客破解，從而造成數(shù)據(jù)庫信息泄露。對于那些存在嚴(yán)重缺陷的數(shù)據(jù)庫，數(shù)據(jù)庫可能會(huì)接受一些沒有經(jīng)過身份驗(yàn)證的數(shù)據(jù)，從而導(dǎo)致SQL注入，導(dǎo)致數(shù)據(jù)信息泄露或者被破壞。數(shù)據(jù)庫管理人員要想減少和避免數(shù)據(jù)庫的安全和管理風(fēng)險(xiǎn)，必須要充分了解SQL server數(shù)據(jù)庫的各種缺陷。

②2.2 數(shù)據(jù)庫的安全機(jī)制

通常人們把SQL server數(shù)據(jù)庫的安全機(jī)制劃分為三個(gè)級(jí)別，分別是數(shù)據(jù)庫對象使用安全、數(shù)據(jù)庫訪問安全和SQL server的登錄安全。要想有效的阻止外界的非法入侵，必須要從這三個(gè)級(jí)別和層次上來建立安全機(jī)制。用戶要想進(jìn)入數(shù)據(jù)庫，首先要通過身份驗(yàn)證和權(quán)限驗(yàn)證，數(shù)據(jù)庫的超級(jí)管理員在進(jìn)行數(shù)據(jù)庫設(shè)計(jì)時(shí)，已經(jīng)預(yù)先設(shè)定了不同身份和不同權(quán)限的用戶，只有當(dāng)用戶的登錄賬號(hào)密碼都與數(shù)據(jù)庫設(shè)定的一致時(shí)，才能登錄數(shù)據(jù)庫。并且只能進(jìn)行與其身份相符的各種數(shù)據(jù)庫操作。

3 數(shù)據(jù)庫的安全設(shè)置

在進(jìn)行數(shù)據(jù)庫設(shè)計(jì)時(shí)，必須要從整體上考慮數(shù)據(jù)庫的安全機(jī)制。對不同用戶賦予不同的權(quán)限，可以利用文件驅(qū)動(dòng)程序來對文件操作進(jìn)行過濾，也就是說只允許有一定權(quán)限的合法用戶對數(shù)據(jù)庫的各種備份文件、日志文件或者數(shù)據(jù)庫文件進(jìn)行操作，其他進(jìn)程禁止操作。這時(shí)數(shù)據(jù)庫安全就只和網(wǎng)絡(luò)傳輸安全、數(shù)據(jù)庫系統(tǒng)本身以及操作系統(tǒng)這幾個(gè)因素有關(guān)了。

現(xiàn)在網(wǎng)站開發(fā)的主流是B/S模式，這就不可避免的被黑客進(jìn)行SQL注入攻擊測試，很多大型的論壇和網(wǎng)站都相繼被注入。這也正是為什么SQL server的安全性越來越引起人們重視的原因。

① 3.1 對危險(xiǎn)函數(shù)要?jiǎng)h除

為了對Access、Excel、遠(yuǎn)程服務(wù)器等數(shù)據(jù)庫進(jìn)行操作，SQL server增加了一些函數(shù)比如OPENDATASOURCE 和OPENROWSET等函數(shù)，這些函數(shù)方便了SQL server的操作，但是卻給數(shù)據(jù)庫帶來了一定的危險(xiǎn)。黑客可以利用這些函數(shù)進(jìn)行數(shù)據(jù)庫掛馬，從而獲得數(shù)據(jù)庫，以及服務(wù)器的控制權(quán)限。

② 3.2 對有安全問題的SQL過程要?jiǎng)h除

SQL INJECTION 往往在Web CODE 中產(chǎn)生。一旦攻擊者發(fā)現(xiàn)網(wǎng)站存在SQL INJECTION 漏洞，就會(huì)借助SELECT IS_SRVROLEMEMBER（'sysadmin'）， 或者SELECT IS_MEMBER（'db_owner'）來測試網(wǎng)站的SQL Server 使用者具有多大的權(quán)限。并根據(jù)SQL Server提示的錯(cuò)誤信息發(fā)現(xiàn)其中的各種敏感信息，并進(jìn)行進(jìn)一步測試。

③ 3.3 修改默認(rèn)的1433 端口，并且將SQL Server 隱藏

通過修改默認(rèn)1433端口，可以有效的阻止黑客對SQL server客戶端的各種攻擊。為了盡可能的對數(shù)據(jù)庫進(jìn)行掩藏，還需要在TCP/IP的篩選中屏蔽掉1433端口。這樣，一旦SQL server遭到攻擊，黑客也很難在短時(shí)間內(nèi)通過查詢分析器遠(yuǎn)程登錄來進(jìn)行下一步的攻擊。

④ 3.4 安裝最新SQL Server 數(shù)據(jù)庫補(bǔ)丁包

SQL server的安全性隨著發(fā)行版本的更新而逐漸提高，為了確保數(shù)據(jù)庫的安全，必須要及時(shí)更新SQL server，最有效直接和安全的方法是到微軟的官方網(wǎng)站上下載更新。

⑤ 3.5 對操作系統(tǒng)的安全設(shè)置

進(jìn)行操作系統(tǒng)安全設(shè)置常用的方法有六種。一是對不必要的端口要關(guān)閉，盡可能減少使用不信任的服務(wù)器軟件和遠(yuǎn)程管理軟件；二是關(guān)閉不需要的服務(wù)；三是要通過修改注冊表來關(guān)閉默認(rèn)的共享設(shè)備；四是對電腦硬盤分區(qū)可以采用NTFS格式；五是對系統(tǒng)登錄中的各個(gè)選項(xiàng)進(jìn)行設(shè)置；六是禁用GUEST賬號(hào)，對不必要的用戶進(jìn)行限制，主要方法有：1）限制不必要的用戶，禁用GUEST 賬號(hào)，并為amdinistrator 用戶賬號(hào)更名并修改密碼。

4 數(shù)據(jù)庫的管理策略

要想實(shí)現(xiàn)對數(shù)據(jù)庫的安全管理，這里可以從以下幾個(gè)方面做起。

① 4.1 對數(shù)據(jù)庫進(jìn)行加密

對數(shù)據(jù)庫進(jìn)行加密通常是把數(shù)據(jù)庫中的明文數(shù)據(jù)加密成密文數(shù)據(jù)，數(shù)據(jù)庫中的數(shù)據(jù)以密文數(shù)據(jù)的形式保存，在進(jìn)行數(shù)據(jù)查詢時(shí)再把密文數(shù)據(jù)解密為明文，這樣即使將來硬件存儲(chǔ)丟失也不會(huì)泄密數(shù)據(jù)，從而大大的提高了數(shù)據(jù)的安全性。

② 4.2 及時(shí)進(jìn)行數(shù)據(jù)信息備份

影響數(shù)據(jù)庫數(shù)據(jù)的安全是多方面的，常見的比如黑客攻擊、軟硬件故障以及計(jì)算機(jī)病毒入侵等都可能造成數(shù)據(jù)庫被破壞和數(shù)據(jù)信息丟失。為此，必須要做好數(shù)據(jù)信息備份，為了防止機(jī)器出現(xiàn)故障，在進(jìn)行數(shù)據(jù)庫備份時(shí)還要進(jìn)行異機(jī)備份，從而保證數(shù)據(jù)庫信息的安全。

③4.3 通過多種手段建立數(shù)據(jù)安全性

數(shù)據(jù)庫的安全性可以通過多種手段來實(shí)現(xiàn)，通常實(shí)現(xiàn)手段有四種，一是通過數(shù)據(jù)庫角色來實(shí)現(xiàn)、二是通過服務(wù)器角色建立數(shù)據(jù)安全性來實(shí)現(xiàn)；三是通過視圖角色建立數(shù)據(jù)安全性來實(shí)現(xiàn)；四是通過存儲(chǔ)過程角色來實(shí)現(xiàn)。

5 結(jié)束語

SQL server數(shù)據(jù)庫的安全和管理對數(shù)據(jù)信息安全非常重要，為了確保SQL server數(shù)據(jù)庫的安全與管理，必須對SQL server數(shù)據(jù)庫的安全機(jī)制和管理機(jī)制有一個(gè)全面的把握，對其安全策略和管理策略進(jìn)行有針對性的探討。此外，還要加強(qiáng)內(nèi)部管理人員的安全管理培訓(xùn)，進(jìn)一步完善安全管理制度。SQL server數(shù)據(jù)庫版本在不斷的更新，網(wǎng)絡(luò)技術(shù)也在快速的發(fā)展，對SQL server數(shù)據(jù)庫的安全和管理是一個(gè)動(dòng)態(tài)的長期的過程。

參考文獻(xiàn)：

[1] 康懿.基于SQL Server的數(shù)據(jù)庫許可管理[J]. 信息與電腦（理論版）.， 2012（09）.

[2] 馮登國，張敏，張妍，徐震.云計(jì)算安全研究[J]. 軟件學(xué)報(bào).， 2011（01）

[3] 汪利琴.對SQL Server 2005數(shù)據(jù)庫安全保護(hù)措施的探討[J]. 科技信息. ，2012（10）.

[4] 高潔.Web數(shù)據(jù)庫安全應(yīng)用策略[J]. 山西青年管理干部學(xué)院學(xué)報(bào). ，2012（01）.

[作者簡介，]楊娜（1991.09 -），女，1991年09月10日，2009級(jí)哈爾濱師范大學(xué)計(jì)算機(jī)科學(xué)與信息工程學(xué)院學(xué)生，本科生，研究方向?yàn)橛?jì)算機(jī)工程與應(yīng)用。