基于SQL Server数据库内部加密技术探讨.docVIP

基于SQL Server数据库内部加密技术探讨 　　摘要:数据库是企业信息系统运转的核心,同时数据库也是黑客攻击的主要目标,因此,研究一种有效的数据库加密技术对企业的信息安全十分重要。介绍了SQL Server数据库的安全问题和常见的数据库加密技术,提出了一种针对于数据库列的内部加密技术。实验结果表明,针对列的内部加密技术不仅能够取得理想的保密效果,同时也得到了最优化的数据库运行性能。 　　关键词:SQL Server;数据库;加密 　　中图分类号:TP391 文献标识码:A 文章编号:1009-3044(2009)15-3847-02 　　 　　SQL Server-based Database of Internal Encryption Technology 　　LIU Jian 　　(Information Engineering Department of Hunan Urban Construction College, Xiangtan 411101, China) 　　Abstract: Enterprise Information System database is the core operation, while the database is the main objective of hacker attacks, and therefore the study of an effective database encryption technology for enterprise information security is very important. Introduced a SQL Server database security issues and a common database encryption technology, a column in the database for internal encryption technology. The experimental results show that listed on the internal encryption technology can not only achieve the desired confidentiality, but will also be the most optimized performance of the database. 　　Key words: SQL Server; database; encryption 　　 　　1 引言 　　 　　企业信息系统的发展将数据的安全问题提到前所未有的高度。一方面,企业本身需要对自己的关键数据进行有效的保护另一方面,越来越多的企业开始从应用服务提供商一,处获得应用支待和服务,在这种情况下,企业的业务数据存放在处,其安全性无法得到有效的保障。因为传统的数据库保护方式是通过设定口令字和访问权限等方法实现的,这就留下了一个很大的安全漏洞一数据库管理员可以不加限制地访问数据库中的所有数据。解决这一问题的关键是要对数据本身加密,即使数据不幸泄露或丢失,也难以被人破译。[1] 　　数据库加密系统,其实现的主要功能是对存储在数据库中的数据进行不同级的存储加密。这样就有效的保护了存储在数据库中的重要数据,即使某一用户非法入侵到系统中或盗得了数据库文件,没有解密密钥,他也不能得到所需数据。所以数据库的加密处理对保护数据的安全性具有非常重要的意义。 　　 　　2 SQL Server的常见安全问题 　　 　　SQL Server 2005已经被众多信息系统采用,但在安全方面还是存在一些技术或者是管理上的问题。 　　1)空口令或弱口令:初学者在安装SQL Server时为了省事,SQL Server管理员sa 用的是空口令或弱口令,这样危险性十分巨大,而这些危险往往是初学者意识不到的,小王就觉得,自己的库是试验数据,没什么用,即使别人连上库也无所谓。殊不知SQL Server的默认用户sa的权限非常巨大,有种观点是sa的权限要大于administrator的权限,也就是说没有限制的sa用户可以做Windows系统管理员所做的任何事。 　　2)注入和跨库攻击:注入和跨库攻击可能是这几年黑客攻击中最流行的词了,它的原理和上面讲的都是获得了SQL Server管理员sa的权限,从而控制数据库,还可以利用xp_cmdshell这样的SQL Server的扩展存储过程控制Windows系统。注入和空口令获取sa权限的方法不同,注入是ASP程序在连接SQL Server时有漏洞,黑客利用漏洞获取了sa权限。 　　3)SQL