SQL SERVER數(shù)據(jù)庫安全性保障策略

劉娜

摘 要 隨著計算機技術(shù)和數(shù)據(jù)庫技術(shù)的發(fā)展，數(shù)據(jù)庫的運行面臨越來越多的安全問題，為了保證數(shù)據(jù)庫安全穩(wěn)定的運行，需要我們不斷的去探索，尋找解決的方案。

關(guān)鍵詞 SQL 安全性 權(quán)限 防火墻

中圖分類號：TP392 文獻標(biāo)識碼：A

數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫，以防止因不合法的使用而造成的數(shù)據(jù)泄露、更改或破壞。數(shù)據(jù)庫管理系統(tǒng)安全性保護，就是通過種種防范措施以防止用戶越權(quán)使用數(shù)據(jù)庫。安全保護措施是否有效是衡量數(shù)據(jù)庫系統(tǒng)的主要性能指標(biāo)之一。

本文將從以下幾方面研究探討如何加強數(shù)據(jù)庫的安全性：

1安裝最新的補丁

對系統(tǒng)來說，一般都是不斷的采用補丁的形式來加強各方面的防范工作，為了確保SQL Server數(shù)據(jù)庫的安全性，最有效的方法就是定期下載安裝最新的補丁。另外，還應(yīng)該安裝所有已發(fā)布的安全更新，訂閱新安全更新的通知。

2設(shè)置Windows身份驗證模式

在數(shù)據(jù)庫登錄賬戶認(rèn)證階段有兩種模式，即Windows身份驗證模式和混合模式。其中Windows身份驗證模式只允許用戶使用Windows身份驗證方式登錄服務(wù)器，不能指定SQL Server的登錄賬號。

通過使用Windows身份驗證模式登錄，對Windows用戶和域用戶賬號的連接進行了限制，就可以限制Windows的用戶以及區(qū)域之外的用戶賬戶對SQL Server的連接請求，從而保護了SQL Server免受Internet網(wǎng)絡(luò)的侵害，減小數(shù)據(jù)庫遭受互聯(lián)網(wǎng)中的病毒和木馬程序，還有黑客的攻擊。

3定期備份數(shù)據(jù)庫，保障數(shù)據(jù)庫的恢復(fù)

數(shù)據(jù)恢復(fù)也被稱為數(shù)據(jù)重載或數(shù)據(jù)裝入，數(shù)據(jù)庫恢復(fù)主要采用基于備份的恢復(fù)技術(shù)、基于備份和運行日志的恢復(fù)技術(shù)和基于多備份的恢復(fù)技術(shù)。為了保障數(shù)據(jù)庫的最大可恢復(fù)性，最好養(yǎng)成定期備份數(shù)據(jù)庫的習(xí)慣。在備份數(shù)據(jù)庫時，既要保證備份數(shù)據(jù)的完整性，又要建立一個詳細(xì)的備份數(shù)據(jù)的檔案，以免因使用了不完整或日期不正確的備份數(shù)據(jù)破壞系統(tǒng)數(shù)據(jù)庫的完整性，從而造成嚴(yán)重后果。

4使用微軟的基線安全性分析器

微軟基線安全分析器（Microsoft Baseline Security Analyzer，簡稱MBSA）是一個簡單易用的工具，在開發(fā)SQL Server的時候，開發(fā)者就在微軟的產(chǎn)品中加入了掃描不安全配置工具MBSA，這種掃描工具能夠自動運行，對微軟中的一切組件進行掃描，就是連Microsoft SQL Server Deskstop Engine以及SQL Server都會被掃描。MBSA可以在本地運行，也可以通過網(wǎng)絡(luò)運行，可以針對SQL Server安裝進行檢測，從而評估服務(wù)器的安全性。

5確保操作系統(tǒng)的安全

操作系統(tǒng)安全是數(shù)據(jù)庫安全的前提，目前使用的操作系統(tǒng)主要有Unix、類Unix操作系統(tǒng)和微軟公司W(wǎng)indows操作系統(tǒng)。操作系統(tǒng)安全主要表現(xiàn)在三個方面：一是操作系統(tǒng)本身的缺陷帶來的不安全因素；二是操作系統(tǒng)的安全配置；三是病毒對操作系統(tǒng)的威脅。因此，要盡量采用正版和安全性較高的操作系統(tǒng)并進行必要的安全配置。

為了確保操作系統(tǒng)的安全，也要選擇安全的文件系統(tǒng)。與FAT32文件系統(tǒng)相比，NTFS文件系統(tǒng)具備一定的優(yōu)勢，因此，NTFS是最適合安裝SQL Server的文件系統(tǒng)。我們可以通過設(shè)置NTFS的權(quán)限或通過文件加密的方法提高安全性。

6用戶權(quán)限設(shè)定和控制

安裝數(shù)據(jù)庫時，系統(tǒng)會把用戶名和密碼以及標(biāo)識都記錄下來，用戶每次進入數(shù)據(jù)庫時，系統(tǒng)都會對其進行審核，只有合法用戶才能夠使用數(shù)據(jù)庫，因此，用戶權(quán)限設(shè)定是系統(tǒng)提供的最外層的安全措施。除此之外，還可以通過代碼的編寫預(yù)先設(shè)定用戶權(quán)限，從而使得不同的用戶對不同的數(shù)據(jù)庫有不同的操作權(quán)限，確保用戶操作的合法性，保障數(shù)據(jù)庫的安全性。

7安裝和設(shè)置防火墻

隨著網(wǎng)絡(luò)的發(fā)展，絕大多數(shù)的SQL Server都連接在互聯(lián)網(wǎng)中，為數(shù)據(jù)庫的安全性帶來了嚴(yán)重的威脅和隱患，因此網(wǎng)絡(luò)系統(tǒng)安全是數(shù)據(jù)庫安全的第一道屏障。網(wǎng)絡(luò)系統(tǒng)攻擊主要有木馬程序、病毒和網(wǎng)絡(luò)欺騙等，目前采用的防入侵技術(shù)主要有安裝防火墻和SQL Server端口更改兩種。

所謂防火墻是指一個對來自Internet的信息流量進入企業(yè)內(nèi)部網(wǎng)絡(luò)之前進行有效過濾、檢驗和鑒定，以防止不良信息進入和黑客攻擊的軟件，防火墻是保護系統(tǒng)免受互聯(lián)網(wǎng)攻擊的最有效方法之一。在默認(rèn)情況下，SQL Server使用TCP端口1433和UDP端口1434，為了保證安全性，數(shù)據(jù)庫管理員應(yīng)配置防火墻過濾掉到達(dá)這兩個端口的數(shù)據(jù)包。

8數(shù)據(jù)庫默認(rèn)端口的更改

對于1433和1434端口，即使防火墻對兩個端口的數(shù)據(jù)包加以攔截，但是該端口依然存在不安全因素，網(wǎng)絡(luò)攻擊工具會對這兩個端口進行掃描，很容易被黑客攻陷，因此更改數(shù)據(jù)庫的默認(rèn)端口是很有必要的，通過在SQL Server實例屬性中選擇網(wǎng)絡(luò)配置中的TCP/IP協(xié)議的屬性，將TCP/IP使用的默認(rèn)的端口變?yōu)槠渌丝趤黼[藏SQL Server數(shù)據(jù)庫，保護數(shù)據(jù)庫的安全。

綜上所述，數(shù)據(jù)庫的安全與網(wǎng)絡(luò)環(huán)境、操作系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)的設(shè)置是密切相關(guān)的，只要在一個環(huán)節(jié)出現(xiàn)問題，都會讓整個數(shù)據(jù)庫系統(tǒng)面臨安全威脅。因此，通過對以上八個方面的安全管理和控制，來制定行之有效的安全管理策略，從而保證數(shù)據(jù)庫安全穩(wěn)定的運行。