淺談ＳＱＬ Ｓｅｒｖｅｒ數據庫的安全設計與應用

摘要：在分析數據庫安全機制的基礎上，詳細論述SQL Server的安全策略。介紹SQL Server數據庫的安全設置，并提出SQL Server數據庫應用時的安全措施。

關鍵詞：SQL Server；數據庫安全；數據庫設計

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2008)23-857-01

On the SQL Server Database Design and Application of the Security

RAO Chen， ZHAO Xiao-jing

(Computer Information Engineering Institute，Changzhou Institute of Technology， Changzhou 213002， China)

Abstract: The database security mechanisms on the basis of a detailed exposition of the SQL Server's security strategy. On the SQL Server database security settings and made a SQL Server database application security measures.

Key words: SQL Server; database security， database design

1 引言

SQL Server是微軟公司開發和推廣的數據庫管理系統，在Windows NT或Windows 2000下運行，是一個客戶/服務器關系式數據庫系統。由于SQL Server實現和管理數據庫應用程序最為容易，是設計中、小型數據庫的首選工具，在各個方面得到了廣泛的應用。隨著個人電腦和網絡技術的發展，大多數用戶是通過網絡訪問和使用數據庫，數據庫是網絡的數據庫，網絡是數據庫的網絡，數據庫和網絡已經密不可分。數據庫中大量數據的集中存放和管理，日漸成為非法入侵者攻擊的焦點，數據庫的安全越來越多地受到網絡安全、操作系統安全、用戶等多方面因素的影響，已經成為了信息安全的主要研究課題之一。

2 數據庫的安全機制

數據庫的安全性是指保護數據庫避免不合法的使用，以免數據的泄漏、更改或破壞。數據庫安全機制是多層次，具體可以劃分為用戶、數據庫管理系統(DBMS)、操作系統(OS)、數據庫(DB)四個層次。對于用戶部分的安全機制采用身份認證方法；數據庫管理系統則是通過訪問控制保證資料安全性，任何一個用戶意圖控制一個對象都必須擁有相應的授權；在操作系統級的安全控制主要側重于文件權限保護，系統資源使用限制；在數據庫存儲這一級目前大多采用加密技術，對數據進行加密，即便物理存儲設備失竊后，其上存儲的數據也可保證不被泄漏。

2.1 身份認證

數據庫用戶名是連接數據庫、存取數據庫對象的主體標記，是數據庫中管理權限和控制數據訪問的一種安全措施，用戶認證就是確定所要求的用戶身份的正確性，口令識別是數據庫身份認證中最常用的方式。

2.2 訪問控制

數據庫訪問控制是對用戶訪問數據庫各種對象（包括表、視圖、目錄、應用等）的權限（包括創建、撤銷、查詢、增加、刪除、修改、執行等）的控制，可以通過用戶分類和數據分類實現。訪問控制是數據庫安全系統中的核心技術，主要包括系統授權、確定訪問權限和實施權限三個部分，是數據庫管理系統最有效的安全手段。

2.3 系統文件訪問控制

操作系統(OS)是數據庫系統的運行平臺，為數據庫系統提供一定程度的安全保護。由于數據庫系統在操作系統下都是以文件形式進行管理的，操作系統的用戶可以直接利用OS工具來偽造、篡改數據庫文件內容。加強操作系統的安全管理，也有助于抵制來自網絡的數據庫攻擊。對操作系統用戶管理和權限進行合理分配，防止操作系統用戶非法進入數據庫系統。

2.4 數據庫加密

數據庫加密要求數據庫密碼系統將明文數據加密成密文數據，數據庫中存儲密文數據，查詢時將密文數據取出解密得到明文信息，即便硬件存儲失竊也不會泄漏數據，這樣就大大提高了數據庫系統的安全性，當然成本也隨之提高。

3 SQL Server數據庫訪問控制策略

訪問控制是對用戶訪問數據庫各種資源的權力的控制。SQL Server對用戶的訪問控制分為安全帳戶認證和訪問許可認證兩個階段。在安全帳戶認證階段，Windows操作系統或SQL Server對用戶登錄進行認證，如果認證成功，用戶則可連接到SQL Server，否則數據庫服務器將拒絕用戶的連接請求。訪問許可確認指的是用戶成功連接到SQL Server后，系統根據數據庫中保存的與服務器登錄標識相對應的用戶帳戶來判斷他們是否擁有對數據庫的訪問許可。

1)SQL Server的安全帳戶認證模式。SQL Server服務器安全認證有以下兩種模式：Windows認證模式和Windows與SQL Server混合認證模式。Windows認證更為安全，因為Windows操作系統具有較高的安全性（C2級安全標準）。SQL Server認證管理較為簡單，當SQL Server在Windows NT或Windows2000上運行時，系統管理員必須制定系統使用的認證模式。當采用混合認證模式時，SQL Server既允許使用Windows認證模式又允許使用SQL Server認證模式。在完成SQL Server安裝以后，SQL Server就建立了一個特殊帳戶sa。sa帳戶擁有最高的管理權限，可以執行服務器范圍內的所有操作，既不能更改sa用戶名稱，也不能刪除sa，但可以更改其密碼。在剛剛完成SQL Server的安裝時候，sa帳戶沒有任何密碼，所以要盡快為其設置密碼。

2)訪問許可確認。用戶在實現安全登錄之后，檢驗用戶的下一個安全等級是數據庫訪問權限。數據庫的訪問權限是通過映射數據庫的用戶和登護性好。隨著計算機等級考試的日趨標準化、嚴格化，考生的復習備考顯得更為重要，該系統真正實現學習、輔導、模擬功能，可作為考生課后練習和考前模擬訓練的輔助學習工具。

4 SQL Server數據庫的安全設置

在設計SQL Server數據庫時，要考慮數據庫的安全機制，在安裝時更要注意整個系統的安全設置。首先從操作系統出發，要進行正確的安全設置、明確操作系統用戶權限后，使用文件驅動程序對文件操作進行過濾，即對數據庫庫文件、日志文件、備份文件等的操作權限限定為數據庫進程和指定進程才能操作，其余進程來進行的操作將失敗。這時數據庫的安全性就取決于操作系統本身、數據庫系統本身和網絡傳輸的安全性了，這樣做的目的是排除了操作系統和數據庫系統之外的軟件的不安全因素。本文以Windows2000為例，列出在應用中要注意的安全事項。

4.1 Windows2000系統安全設置

1）限制不必要的用戶，禁用Guest賬號，并為Administrator帳號更名；2）給賬號設置密碼；3）設置系統登錄中各個項目；4）網管員離開工位時要鎖定計算機，不能僅僅采用設置屏幕保護密碼的做法；5）使用NTFS格式分區，NTFS分區要比FAI分區安全很多，只有使用NTFS分區才能真正發揮Windows 2000的作用；6）即時到微軟網站下一載最新的補丁程序；7）修改注冊表關閉默認共享；8）鎖定注冊表。使用Windows 2000的Regedit.32exe工具可以給注冊表的每一個鍵值設置權限；9）關閉不需要的服務；10）設置好安全記錄的訪問。Windows 2000操作系統自帶了審核工具，默認不開啟；11）敏感文件存放在另外的文件服務器中，進行及時、有效的備份。

4.2 網絡安全設置

1）在完全安裝并配置好Win2000 Server之前，一定不要把主機接入網絡；2）關閉不必要的端口；3）最好不要使用遠程管理軟件和不信任的服務器軟件。

4.3 SQL Server2000數據庫安全設置

1）安全安裝MS SQL Server2000；2）使用安全的密碼策略和安全的帳號策略，數據庫管理員應該定期修改密碼、定期查看是否有不符合密碼要求的帳號；3）加強數據庫日志的記錄，在實例屬性中選擇“安全性”，將其中的審核級別選定為全部，這樣在數據庫系統和操作系統日志里面，就詳細記錄了所有帳號的登錄事件；4）仔細分配和審核用戶權限，不要分配太多權限，使用組策略；5）使用協議加密。SQL Server 2000使用的Tabular Data Stream協議來進行網絡數據交換，如果不加密則所有的網絡傳輸都是明文的，包括密碼、數據庫等內容，所以在條件許可下最好使用SSL來加密協議，這需要一個證書來支持；6）進行端口設置，SQL Server 2000屬于“端口型”數據庫，更改原默認的1433數據庫端口。在實例屬性中選擇TCP/IP協議的屬性，選擇隱藏SQL Server實例，他人就不能用1434來探測你的TCP/IP端口了。

5 結束語

介紹了SQL Server數據庫的安全機制，在實際應用中的有關安全性設置，包括Windows2000操作系統安全設置、網絡安全設置、MS SQL Server2000的安全設置知識等安全方法，并提出了一些安全措施，對于提高SQL Server數據庫的安全性有比較好的效果，對中、小型數據庫的設計有一定的借鑒意義。

參考文獻：

[1] 劉啟原，劉怡.數據庫與信息系統的安全[M].北京:科學出版社，2000.

[2] 李海泉，李健.計算機網絡安全與加密技術[M].科學出版社，2001.

[3] 江南，常春.SQL Server 2000安全驗證的故障診斷與分析[M].計算機與數字工程，2006，36(4):81-84.

[4] 韓嘉檸.Web數據庫的開發與安全設計[J].電腦知識與技術（學術交流），2007，(13):124-125.