浅议SQL SERVER数据库安全的策略.docVIP

浅议SQL SERVER数据库安全的策略 　　[摘要]SQL Server是微软公司推出的关系数据库管理系统,很多电子商务网站、企业内部信息化平台等都是建立在SQL Server数据库基础之上。为防止不合法的使用所造成的数据泄露、更改或破坏,微软公司建立一套灵活强大的安全管理机制。但再完美的系统都可能存在漏洞,或是使用者安全意识不强而带来系统运行过程的不安全性。安全使用SQL Server数据库,必须采取补丁策略、防范SQL注入攻击策略和网络连接策略。 　　[关键词]计算机安全数据库SQL SERVER 　　中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1110091-01 　　 　　在计算机安全领域中,人们往往更多地关注系统基础架,比如讨论防火墙、网络、操作系统、Web服务器、电子邮件服务器和域名服务器的安全性策略,而很少关注数据库。但实际上,数据库作为计算机系统的核心部分,是企业、公司、机关的重要信息中心。数据库才是攻击者的主要目标。如何加强SQL SERVER数据库安全是一个很值得探讨的问题。 　　 　　一、关于SQL SERVER数据库的安全性 　　 　　SQL Server是微软公司推出的关系数据库管理系统,很多电子商务网站、企业内部信息化平台等都是建立在SQL Server数据库基础之上。为了防止不合法的使用所造成的数据泄露、更改或破坏,微软公司建立了一套灵活强大的安全管理机制。 　　SQL Server数据库安全性管理是建立在认证(authentication)和访问许可(permission)两者机制上。认证是指来确定登陆SQL Server数据库的用户的登陆帐号和密码是否正确,以此来验证其是否具有连接SQL Ser 　　ver数据库的权限[1]。但是,通过认证阶段并不代表能够访问SQL Server 　　数据库中的数据,用户只有在获取访问数据库的权限之后,才能够对服务器上的数据库进行权限许可下的各种操作,如针对数据库对象(表、视图、存储过程等)进行操作,通过用户帐号设置来实现这种用户访问数据库权限。在SQL Server数据库的安全模型中主要包括SQL Server登录、数据库用户、权限、角色。SQL Server的安全控制策略是一个层次结构系统的集合。 　　 　　二、SQL SERVER数据库危险来源 　　 　　虽然微软在SQL SERVER数据库系统中建立了较为严密的安全管理机制,但再完美的系统都可能存在漏洞,或是使用者安全意识不强而带来系统运行过程的不安全性。归纳起来,SQL SERVER数据库的不安全性主要来自两方面:一方面,由于一些管理员和用户安全意识薄弱,使数据库的安全问题。另一方面,系统中存在的安全漏洞和不当的配置也给非法用户提供了可乘之机,使他们未经授权即闯入系统,破坏和窃取数据,造成严重后果。 　　系统安全漏洞,也叫系统脆弱性(Vulnerability),是计算机系统在硬件、软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足。广义的系统安全漏洞是一切导致威胁、损坏计算机系统安全的因素。SQL Server数据库的系统漏洞产生的主要原因都是由于程序员不正确和不安全编程引起的。很多程序员在编程开始时没有充分考虑到安全问题,在投入使用时,由于用户不正确的输入及不恰当的配置都可以导致漏洞的出现。 　　 　　三、SQL SERVER数据库安全策略 　　 　　基于SQL Server数据库系统运行环境及其漏洞形成原因,我们要针对问题采取以下策略。 　　 　　(一)补丁策略 　　SQL Server2000中存在多个安全漏洞,安装完毕后,应及时安装或更新最新的补丁。因为攻击者可能利用这些漏洞,绕过数据库策略,系统漏洞会泄露敏感信息或执行恶意代码从而威胁数据库服务器安全。为了提高服务器安全性,最有效的一个方法就是时常给系统打补丁,将系统升级到Service Pack4(SP4)。同时,应该安装所有已发布的安全更新,并运行Microsoft Baseline Security Analyzer(MBSA),因为MBSA会通过密码、访问权限、访问控制列表以及注册等方式查找问题,并找出遗失的安全补丁或服务包。另外,用户还要注册微软的免费安全通知服务,该服务会以电子邮件的形式通知我们有什么侵入安全系统以及如何解决它们。尽管安全补丁或服务包有助于SQL Server数据库免受许多威胁,但是它们并非“终结者”,对快速运行的安全问题,如蠕虫攻击者就有点力不从心了。我们还要做下面几项工作。 　　 　　(二)防范SQL注入攻击策略 　　SQL注入(SQL injection)是指用户可以传递任意的、特别的(恶意的)代码,这些代码通常