基于SQL Server的數據庫安全管理機制分析

摘 要：隨著信息社會的飛速發展，企業積累了大量的數據，數據的安全關乎企業的發展與生存，因此數據庫作為數據的載體，它的安全是企業信息安全的重要事項。數據庫安全指數據庫系統的硬件和網絡環境的安全、數據傳輸的安全以及數據存儲的安全性，以防止非法使用造成的數據外泄、破壞或者更改，以及遇到災難后數據的恢復。本文基于企業常用的SQL Server 數據庫，對數據庫的安全管理機制和策略進行探究。

關鍵詞：SQL Server；數據庫；安全管理機制

近年來信息安全事件頻發，因此各企事業單位高度重視信息的安全性。SQL Server 數據庫為關系型數據和結構化數據提供了更安全可靠的存儲功能，使用戶可以構建和管理用于業務的高可用和高性能的數據，本文從SQL Server的服務器安全、客戶機安全、傳輸安全和存儲安全四個方面，對SQL Server的安全管理機制進行分析探究。

1 數據庫SQL Server服務器安全

SQL Server服務器通過邏輯和物理上的隔離形成安全基礎。在網絡中應置于有防火墻或其它安全防護的環境中。物理隔離應當將服務器放置在濕度、溫度、通風指標合格并配置防火設備、消防設備等的安全環境中。在企業內部網的安全區域中安裝數據庫，要定期對數據進行備份，最好異地備份或者網絡映射備份，保證在一份備份信息受到攻擊或損害時，仍有可用的可恢復備份資源。

同時，如今網絡攻擊已經從公開的漏洞利用發展到更精細的方法，并不斷挑戰傳統的入侵檢測機制。漏洞利用的腳本在數據庫補丁發布的幾小時內就可以被發到網上，馬上就可以通過漏洞利用代碼，再加上好多單位的補丁周期比較長，實質上相當于數據庫的大門完全敞開了。所以應當及時安裝官方補丁，修補數據庫系統中存在的漏洞，避免數據的外泄及破壞。

2數據庫SQL Server客戶機安全

SQL Server 關系數據庫作為安全性較強的數據庫操作系統，用戶在使用數據時需要進行登錄。在登錄成功候，合法用戶才能根據權限對可視數據進行操作與訪問。數據是面向擁有權限的用戶開放的，并非全部用戶。因此身份驗證和訪問控制是保護數據安全的第一道屏障。同時，通過設計功能可以追溯數據的增刪改查，可有效防止數據的篡改。

2.1身份安全驗證

SQL Server 關系數據庫管理系統是采用較完善的安全措施。而該系統提供的最基本的也是最外層的安全措施身份驗證。驗證方法是輸入對應的ID和密碼，以此向系統證明自己的身份，系統則對用戶身份進行極其嚴格的認證審查核實，當身份驗證通過后才能提供相應的系統服務。

登錄服務器時支持SQL Server 的兩種驗證模式：混合驗證模式和Windows驗證。混合驗證模式同時支持SQL Server 驗證模式和Windows驗證模式，登錄到一個多服務器的環境中Windows 驗證模式管理更加方便，并且能夠提供更優越的、更完善的功能。例如安全審核、密碼管理、密碼策略等。任何驗證方需采用合理的安全密碼策略。特別是對系統管理帳號（SA）要實行最強的安全密碼策略，因為該帳號在默認情況下在登陸的服務器中擁有所有的權限。但通常情況下，SA不會從服務器中移走或刪除，所以必須對SA帳號指定密碼并且要記得。

2.2 訪問控制

帳號登陸連接到服務器后，其操作主要取決于登陸帳號在數據庫系統中定義的存取權限。SQL Server中的訪問權限分為數據庫的訪問權限和服務器本身的操作權限，即對應的數據庫角色和服務器角色，因此帳號是針對數據庫分別進行設置的。數據庫帳號將與登陸標識建立關聯，利用登陸標識實現SQL Server 登陸后，則根據在數據庫中是否有對應的數據庫帳號對相應的數據庫進行某些操作。SQL Server 將依據登陸帳號所屬的角色類型，運用Grant等命令實現對數據庫或數據庫對象進行相應權限的控制，并實現基于角色的訪問控制策略。一個角色與相應的權限，SQL Server會將具有相同權限的多個帳號添加到該角色中，使其成為該角色的成員，方便對一類帳號的管理。那么只需要設置該角色的權限就可以改變角色中所有帳號的權限，不必對每個帳號分別設置權限。

2.3審計功能

審計功能主要指各種帳號對數據庫的操作進行監視、審計和記錄機制。該機制可以記錄用戶所有的操作信息，并且可以利用這些記錄進行跟蹤。通過審計功能可以追蹤到數據的修改人員和相關操作，同時也可以更好查出系統安全方面的漏洞和弱點。審計功能分為系統審計和分戶審計，主要運用SQL事件探查器完成系統的審計工作。系統啟動審計功能后將記錄所有賬號對視圖、數據表進行訪問的企圖及操作的時間和操作代碼等信息。

3數據庫SQL Server數據傳輸安全

傳輸中的安全機制包括網絡數據庫數據信息加密技術與數據解密技術。數據庫加密是對需要進行存儲或傳輸的數據以密文形式進行，可以防止運用非法手段存取數據的企圖，保障高敏感數據的安全。SQL Server具有優越的加密機制，實現安全管理分布式數據庫。主要運用Pwdencrypt哈希函數實現帳號實現在Master數據庫中系統表內的密碼進行加密隱藏，可在系統表syscomments中存儲定義好的觸發器、視圖、存儲過程等內容。運用 SQL Server 的加密機制，使用with encryption語句實現加密。

4數據庫SQL Server數據存儲安全

信息是推動企業發展的能源，而且最關鍵的信息通常保存在數據庫中。若要保護企業的數據以確保數據的安全性和可用性，則需要一個可靠的數據庫備份和還原計劃。

備份數據庫能應對意外的數據丟失、數據庫的損壞、硬件故障甚至是自然災害造成的損害。執行備份并將所創建的備份保存到一個安全、保密的地方也是一個數據庫管理員的分內職責。應該將數據庫備份看做對未來的一個保險計劃。關于備份需要遵循的一個簡單規則是：盡早并且經常備份。另一條規則是：不要只是備份到相同磁盤的一個文件中，然后忘了有這個備份；應該確保在完全分離的位置（最好是遠離工作現場）還有一個副本，以確保備份是安全的。SQL Server 具備良好的備份和還原機制。

4.1備份類型

首先要選擇備份的類型。根據數據庫的恢復模型，有以下幾種可用的備份類型。

（1）完整備份：用于執行完全的數據庫備份，包括所有對象、系統表以及數據。在備份開始時，SQL Server 復制數據庫中的一切，而且還包括備份進行過程中所需要的事務日志部分。因此，利用完整備份可以還原數據庫在備份操作完成時的完整數據狀態。就是對在發出備份命令前，諸如提交的最后一個事務之類的實際數據庫文件的完整備份。

（2）差異備份：這可以稱為“備份后”的備份。當采用差異備份時，該備份寫入自從上次完整備份后改變的區段的副本。這通常比完整備份速度更快，而且占用更少的空間。那會少多少空間呢？這要取決于實際變化數據的大小。對于那些需要花很長時間進行備份的大型數據庫來說，比較常見的策略是一周或者一個月進行一次完整的備份，而在此期間則采取差異備份，從而節省空間和時間。和完整備份一樣，差異備份也包括了事務日志部分，為了能夠將數據庫還原至備份操作完成時的狀態，會需要這些事務日志部分。但是職能結合完整備份來使用差異備份，而且不能針對master數據庫執行差異備份。

（3）事務日志：是所有數據庫修改的系列記錄，用以在還原操作期間提交完成的事務以及回滾未完成的事務。在備份事務日志時，備份將存儲自上一次事務日志備份后發生的改變，然后截斷日志，以此清楚已經被提交或放棄的事務。不同于完整備份和差異備份，事務日志備份記錄備份操作開始時的事務日志狀態，而不是結束時的狀態。

（4）文件和文件組備份：可以備份數據庫文件和文件組而不是備份整個數據庫。如果正在處理大型數據庫，并且希望只備份各個文件而不是整個數據庫以節省時間，那這種備份是有用的。有許多因素會影響文件和文件組的備份。在使用文件和文件組的備份時，還必須備份事務日志。

4.2還原

這是和備份相反的操作。當認真完成備份之后，遇到數據丟失或者特殊情況則需要對數據進行還原。還原的過程是備份過程的逆向操作。

5 結束語

SQL Server數據庫的在企事業單位中的使用范圍越來越廣，本文從四個方面著手研究了其安全管理機制，對服務器的內外部環境的安全性、客戶機登陸和訪問的權限和角色控制中、數據傳輸過程中的加密和解密機制、以及數據的備份和還原機制以應對突發情況所需的數據恢復進行分析后，我們可以更深刻的認識到信息安全與企業發展的關系，促使我們高度重視信息的安全防護和管理機制。

作者簡介：

苗改梅（1988 --），女，山西，碩士，工程師，研究方向：企業信息化.