基于SQL Serverweb数据库自身安全机制构建.pdf

基于SQL Server 的web 数据库自身安全机制的构建 康效龙 (西安电子科技大学外部设备研究所 西安 710071) keo916@ 摘 要：随着Web数据库的应用越来越广泛，Web数据库的安全问题日益突出。本文从数据库自身提供 的安全机制的角度，基于Web数据库领域广泛使用的MS SQL Server数据库，从账号管理、日志记录、扩 展存储过程管理、端口管理及备份与恢复等几个角度详细探讨了数据库自身安全机制的运用。 关键词：数据库安全,SQL Server2000,Web 数据库 Building Security Mechanism of Web Database Based on SQL Server KANG Xiaolong (Research Institute of Software Engineering, Xidian University，710071) Abstract: With the extensive application of web database,the security problem in the web database is more and more outstanding.In this paper,we talk about the application of the security mechanism of SQL Server database in detail in the way of users management,log, extended stored procedures management ，ports management and so on. Keywords: Web, Database Security ,Web Database 1、前言 在国际互联网络迅速发展的今天，网络上的任何一台PC 机都能够轻而易举地获得网络 上的共享资源，与此同时也饱受各种网络攻击的威胁。据美国联邦调查局统计表明，网上犯 罪每年给全美商业带来的损失至少达1.38亿美元。由于被黑客袭击的次数与日俱增，而大 多数网络自身的安全性较薄弱，另一方面网络重要程度在不断提高，web 站点与日俱增，使 得 Web 站点的安全变得十分重要，这不仅关系到企业的利益，也关系到政府的形象和企业 的安全。比如2001 年的中美黑客大战就造成了我国很多重要门户网站的内容被恶意篡改， 造成了不良的影响。 与此同时，随着数据库在Web中的广泛应用，数据库安全问题与日俱增，许多Web站点 的管理员，仅仅关注数据库的使用，而很少注意其安全性能，这无疑为黑客或恶意用户留下 可乘之机，也是导致Web数据库受到威胁重要因素。 数据库的安全应从事前和事后两个方面考虑，事前主要通过各种安全机制对数据库进行 加固，将黑客或恶意用户的非法操作扼杀在摇篮中，不让其有可乘之机；事后则主要是在难 恢复阶段，这就要事先制订合理的备份及审计机制，以备事后恢复，最大限度地减小损失。 2、合理配置数据库的安全机制 保护 Web 数据库，首先应该从数据库自身的安全机制入手，这包括给数据库服务器安 装补丁程序、合理配置数据库服务器等。 SQL Server2000 是被广泛使用的 Web 数据库服务器，下面就以基于 MS SQL Server2000 的网络数据库为例，详细介绍其安全配置： 2.1 使用安全的密码策略 我们把密码策略摆在所有安全配置的第一步，请注意，很多数据库帐号的密码过于简单， 作者简介：康效龙（1980－），男，西安电子科技大学硕士研究生，主要研究方向：网络与信息安全 图形 图像处理。 定稿日期：2004-04-06 这跟系统密码过于简单是一个道理。对于sa 更应该注意，同时不要让sa 帐号的密码写于 应用程序或者脚本中。健壮的密码是安全的第一步！ SQL Server2000 安装的时候，如果是使用混合模式，那么就需要输入 sa 的密码， 除非你确认必须使用空密码。这比以前的版本有所改进。 同时要养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求 的帐号。比如使用下面的SQL 语句： Use master Select name,Pass