SQL Server数据库的安全为题与安全策略.docxVIP

SQL Server数据库的安全为题与安全策略摘要：随着网络和SQL Server数据库应用的发展，SQL Server数据库安全性一直是微软公司致力改善和用户关心的问题。本文就SQL Server数据库的安全漏洞的分析，帮助数据库管理员对数据库进行有效的安全配置，探讨数据库安全管理策略。关键词：SQL；数据库；安全；策略0.引言在各种数据库中，SQL Server是目前被广泛使用的网络关系型数据库，是设计中、小型数据库的首选的工具，虽然SQL Server版本不断更新，其安全性不断改进和完善，但随着网络和数据库使用的不断深入，SQL Server的安全性也是用户最关心的项目之一。 1.数据库的安全漏洞 SQL Server数据库任一版本都不同程度地存在着安全漏洞，这些漏洞大部分是由不良设置或者实施造成。其中，最常见的几个与数据库相关的安全漏洞：不良的口令政策、SQL注入、交叉站点脚本、数据泄漏、不适当的错误处理等。数据库安全漏洞不光威胁数据库安全，也威胁到操作系统和其他可信任的系统。因此，对数据库的安全漏洞详细了解，有助于让用户能够采取相应的措施来修补数据库存在的安全隐患。对于用户而言，在数据库方面存在的最大问题是经常使用默认或者软弱的口令,来保护像数据库一样重要信息。其补救措施是强制执行强大的口令政策。也就是说，口令要定期变换，口令长度最少为10位数且包含字母和符号。采用这种政策，你将关闭攻击者通向你的数据的方便之门。 SQL注入是依靠软弱的数据库实施，特别是在如何向数据库发送SQL请求方面的实施。如果这个数据库接受了用户提供的不干净的或者没有经过验证的数据产生的SQL请求，这就会为SQL注入攻击敞开大门。例如，通过修改从基于网络的格式受到的信息，攻击者能够提供恶意的SQL请求并且把指令直接发送到数据库。要防止这种类型的攻击，在让这些数据接近你的脚本、数据访问程序和SQL查询之前，保证所有用户提供的数据是合法的是非常重要的。验证和清洁从用户那里收到的数据的另一个理由是防止交叉站点脚本攻击。这种攻击能够用来攻破连接到一个Web服务器的数据库。黑客通过一个网络蠕虫把Java Script等客户方面的脚本注入到一个网络应用程序的输出中。这些脚本用于收集cookie数据。这些数据经常被错误地用来存储用户账户登录信息等资料。一个经常被忽略的问题是什么时候建立一个数据库应用程序是泄漏数据。这是敏感的数据要发送的地方或者是非故意踢敏感数据的地方。这个错误将导致不能保证访问数据库备份磁带的安全和控制这种访问。通常，更敏感的数据产生于有关数据的合法查询的答案，就像从医疗处方判断疾病一样。常用的解决方案是监视查询方式以检测这种行动。与数据泄漏密切相关的是在数据库出现错误时不适当地处理这些错误，许多应用程序显示了详细的信息。这些错误信息能够泄漏有关数据库结构信息。 SQL Server数据库的系统漏洞的产生的主要原因都是由于程序员不正确和不安全的编程引起的。加上程序员的水平及经验的参差不齐，这部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。在使用时，由于用户的不正确配置就有可能导致漏洞产生。认识和了解SQL Server数据库和系统安全漏洞，分析漏洞产生的原因，找出SQL Server数据库的漏洞，是为了增加数据库的安全，这是解决SQL Server数据库安全的理论基础2.数据库的安全设置在设计SQL Server数据库时，要考虑数据库的安全机制，安装时要注意整个系统的安全设置，明确操作系统的用户权限，使用文件驱动程序对文件操作进行过滤，即对数据库文件、日志文件、备份文件等各操作事项限定为数据库进程和指定进程进行操作，其余的进程为禁止操作，这时数据库的安性就取决于操作系统本身、数据库系统本身和网络传输的安全性。随着B/S模式应用开发的发展，SQL INJECTION的攻击测试不可避免，很多大型的网站和论坛都相继被注入。目前网站一般使用SQL Server作为后台数据库，正因为如此，很多人开始怀疑SQL Server的安全性。其实SQL Server各个版本的数据库都已经通过了美国政府的C2级安全认证——这是该行业所能拥有的最高认证级别，所以使用SQL Server还是相当的安全的。当然和Orcal、DB2等还是有差距，但是SQL Server的易用性和实用性还是能被广大的用户所认同，那如何做好数据库的安全设置是解决问题关键。 2.1注意操作系统的安全设置主要方法有：1）限制不必要的用户，禁用GUEST账号，并为amdinistrator用户账号更名并增中密码；2）设置系统登录中的各个选项；3）使用NTFS格式分区；4）修改注册表关闭默认共享服备；5）关闭不需要的服务；6）关闭不必要的端口，最好不要使用远程