SQLSERVER數(shù)據(jù)庫安全性保障策略

1、sql server數(shù)據(jù)庫安全性保障策略sql server數(shù)據(jù)庫安全性保障策略摘要隨著計(jì)算機(jī)技術(shù)和數(shù)據(jù)庫技術(shù)的發(fā)展，數(shù)據(jù)庫的運(yùn)行面 臨越來越多的安全問題，為了保證數(shù)據(jù)庫安全穩(wěn)定的運(yùn)行，需耍我們 不斷的去探索，尋找解決的方案。關(guān)鍵詞sql安全性權(quán)限防火墻中圖分類號(hào)：tp392文獻(xiàn)標(biāo)識(shí)碼：a數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，以防止因不合法的使用而造成 的數(shù)據(jù)泄露、史改或破壞。數(shù)據(jù)庫管理系統(tǒng)安全性保護(hù)，就是通過種 種防范措施以防止用戶越權(quán)使用數(shù)據(jù)庫。安全保護(hù)措施是否有效是衡 量數(shù)據(jù)庫系統(tǒng)的主要性能指標(biāo)之一。本文將從以下幾方面研究探討如何加強(qiáng)數(shù)據(jù)庫的安全性：1安裝最新的補(bǔ)丁對(duì)系統(tǒng)來說，一般都是不斷的采用

2、補(bǔ)丁的形式來加強(qiáng)各方面的防 范丄作，為了確保sql server數(shù)據(jù)庫的安全性，最有效的方法就是 定期下載安裝最新的補(bǔ)丁。另外，還應(yīng)該安裝所有已發(fā)布的安全更新, 訂閱新安全更新的通知。2設(shè)置windows身份驗(yàn)證模式在數(shù)據(jù)庫登錄賬戶認(rèn)證階段有兩種模式，即windows身份驗(yàn)證模 式和混合模式。其中windows身份驗(yàn)證模式只允許用戶使用windows 身份驗(yàn)證方式登錄服務(wù)器，不能指定sql server的登錄賬號(hào)。通過使用windows身份驗(yàn)證模式登錄，對(duì)windows用戶和域用戶 賬號(hào)的連接進(jìn)行了限制，就可以限制windows的用戶以及區(qū)域之外的 用戶賬戶對(duì)sql server的連接請(qǐng)求，從

3、而保護(hù)了 sql server免受 internet網(wǎng)絡(luò)的侵害，減小數(shù)據(jù)庫遭受互聯(lián)網(wǎng)中的病毒和木馬程序， 還有黑客的攻擊。3定期備份數(shù)據(jù)庫，保障數(shù)據(jù)庫的恢復(fù)數(shù)據(jù)恢復(fù)也被稱為數(shù)據(jù)重載或數(shù)據(jù)裝入，數(shù)據(jù)庫恢復(fù)主要采用基 于備份的恢復(fù)技術(shù)、基于備份和運(yùn)行口志的恢復(fù)技術(shù)和基于多備份的 恢復(fù)技術(shù)。為了保障數(shù)據(jù)庫的最大可恢復(fù)性，最好養(yǎng)成定期備份數(shù)據(jù) 庫的習(xí)慣。在備份數(shù)據(jù)庫時(shí)，既要保證備份數(shù)據(jù)的完整性，乂要建立 一個(gè)詳細(xì)的備份數(shù)據(jù)的檔案，以免因使用了不完整或日期不正確的備 份數(shù)據(jù)破壞系統(tǒng)數(shù)據(jù)庫的完整性，從而造成嚴(yán)重后果。4使用微軟的基線安全性分析器微軟基線安全分析器(microsoft baseline se

4、curity analyzer, 簡(jiǎn)稱mbsa)是一個(gè)簡(jiǎn)單易用的工具，在開發(fā)sql server的吋候，開 發(fā)者就在微軟的產(chǎn)品中加入了掃描不安全配置工具mbsa,這種掃描 工具能夠自動(dòng)運(yùn)行，對(duì)微軟中的一切組件進(jìn)行掃描,就是連microsoft sql server deskstop engine 以及 sql server 都會(huì)被掃描。mbsa 可 以在本地運(yùn)行，也可以通過網(wǎng)絡(luò)運(yùn)行，可以針對(duì)sql server 裝進(jìn) 行檢測(cè)，從而評(píng)估服務(wù)器的安全性。5確保操作系統(tǒng)的安全操作系統(tǒng)安全是數(shù)據(jù)庫安全的前提，目前使用的操作系統(tǒng)主要有 unix、類unix操作系統(tǒng)和微軟公司windows操作系統(tǒng)。操作系

5、統(tǒng)安 全主要表現(xiàn)在三個(gè)方面：一是操作系統(tǒng)本身的缺陷帶來的不安全因素; 二是操作系統(tǒng)的安全配置；三是病毒對(duì)操作系統(tǒng)的威脅。因此，要盡 量采用正版和安全性較高的操作系統(tǒng)并進(jìn)行必要的安全配置。為了確保操作系統(tǒng)的安全，也要選擇安全的文件系統(tǒng)。與fat32 文件系統(tǒng)相比，ntfs文件系統(tǒng)具備一定的優(yōu)勢(shì)，因此，ntfs是最適 合安裝sql server的文件系統(tǒng)。我們可以通過設(shè)置ntfs的權(quán)限或通 過文件加密的方法提高安全性。6用戶權(quán)限設(shè)定和控制安裝數(shù)據(jù)庫時(shí)，系統(tǒng)會(huì)把用戶名和密碼以及標(biāo)識(shí)都記錄下來，用 戶每次進(jìn)入數(shù)據(jù)庫時(shí)，系統(tǒng)都會(huì)對(duì)其進(jìn)行審核，只有合法用戶才能夠 使用數(shù)據(jù)庫，因此，用戶權(quán)限設(shè)定是系統(tǒng)提供的

6、最外層的安全措施。 除此z外，還可以通過代碼的編寫預(yù)先設(shè)定用戶權(quán)限，從而使得不同 的用戶對(duì)不同的數(shù)據(jù)庫有不同的操作權(quán)限，確保用戶操作的合法性， 保障數(shù)據(jù)庫的安全性。7安裝和設(shè)置防火墻隨著網(wǎng)絡(luò)的發(fā)展，絕大多數(shù)的sql server都連接在互聯(lián)網(wǎng)屮， 為數(shù)據(jù)庫的安全性帶來了嚴(yán)重的威脅和隱患，因此網(wǎng)絡(luò)系統(tǒng)安全是數(shù) 據(jù)庫安全的第一道屏障。網(wǎng)絡(luò)系統(tǒng)攻擊主要有木馬程序、病毒和網(wǎng)絡(luò) 欺騙等，目前采用的防入侵技術(shù)主要有安裝防火墻和sql server端 口更改兩種。所謂防火墻是指一個(gè)對(duì)來自internet的信息流量進(jìn)入企業(yè)內(nèi)部 網(wǎng)絡(luò)之前進(jìn)行有效過濾、檢驗(yàn)和鑒定，以防止不良信息進(jìn)入和黑客攻 擊的軟件，防火墻是保

7、護(hù)系統(tǒng)免受互聯(lián)網(wǎng)攻擊的最有效方法之一。在 默認(rèn)情況下，sql server使用tcp端口 1433和udp端口 1434,為了 保證安全性，數(shù)據(jù)庫管理員應(yīng)配置防火墻過濾掉到達(dá)這兩個(gè)端口的數(shù) 據(jù)包。8數(shù)據(jù)庫默認(rèn)端口的更改對(duì)于1433和1434端口，即使防火墻對(duì)兩個(gè)端口的數(shù)據(jù)包加以攔 截，但是該端口依然存在不安全因素，網(wǎng)絡(luò)攻擊工具會(huì)對(duì)這兩個(gè)端口 進(jìn)行掃描，很容易被黑客攻陷，因此更改數(shù)據(jù)庫的默認(rèn)端口是很有必 要的，通過在sql server實(shí)例屬性中選擇網(wǎng)絡(luò)配置中的tcp/ip協(xié)議 的屬性，將tcp/ip使用的默認(rèn)的端口變?yōu)槠渌丝趤黼[藏sql server 數(shù)據(jù)庫，保護(hù)數(shù)據(jù)庫的安全。綜上所述，數(shù)據(jù)庫的安全