SQL Server特點(diǎn)和安全性概述

SQLServer特點(diǎn)和安全性概述摘要：SQLServer是一個關(guān)系數(shù)據(jù)庫管理系統(tǒng)。主要具有可信任的、高效的、智能的特點(diǎn)。使得它成為至今為止的最強(qiáng)大和最全面的SQLServer版本。其中SQLServer提供了豐富的安全特性，提供了許多旨在改善數(shù)據(jù)庫環(huán)境的總體安全性的增強(qiáng)功能和新功能。它增加了密鑰加密和身份驗(yàn)證功能，并引入了新的審核系統(tǒng)，以幫助您報(bào)告用戶行為并滿足法規(guī)要求。并且，它的安全機(jī)制可以分為5個層級：客戶機(jī)安全機(jī)制、網(wǎng)絡(luò)傳輸?shù)陌踩珯C(jī)制、實(shí)例級別安全機(jī)制、數(shù)據(jù)庫級別安全機(jī)制、對象級別安全機(jī)制。使其在安全方面表現(xiàn)的更加突出。而新的審核系統(tǒng)和SQLServer基于策略的管理則為您提供新工具來監(jiān)控安全合規(guī)性的狀態(tài)。關(guān)鍵字：特點(diǎn)安全性SQLServer是一個關(guān)系數(shù)據(jù)庫管理系統(tǒng)。主要具有這幾個主要特點(diǎn)：可信任的、高效的、智能的。服務(wù)器級別的安全機(jī)制、數(shù)據(jù)庫級別的安全機(jī)制、數(shù)據(jù)對象級別的安全機(jī)制一、可信任的使得公司可以以很高的安全性、可靠性和可擴(kuò)展性來運(yùn)行他們最關(guān)鍵任務(wù)的應(yīng)用程序。SQLServer為關(guān)鍵任務(wù)應(yīng)用程序提供了強(qiáng)大的安全特性、可靠性和可擴(kuò)展性。1.1、安全特性安全特性表現(xiàn)為：保護(hù)你的信息。在過去的SQLServer的基礎(chǔ)之上，SQLServer做了以下方面的增強(qiáng)來擴(kuò)展它的安全性簡單的數(shù)據(jù)加密:SQLServer可以對整個數(shù)據(jù)庫、數(shù)據(jù)文件和日志文件進(jìn)行加密，而不需要改動應(yīng)用程序。簡單的數(shù)據(jù)加密的好處包括使用任何范圍或模糊查詢搜索加密的數(shù)據(jù)、加強(qiáng)數(shù)據(jù)安全性以防止未授權(quán)的用戶訪問、還有數(shù)據(jù)加密。外鍵管理：SQLServer通過支持第三方密鑰管理和硬件安全模塊為這個需求提供了很好的支持。增強(qiáng)了審查：SQLServer使你可以審查你的數(shù)據(jù)的操作，從而提高了遵從性和安全性。審查不只包括對數(shù)據(jù)修改的所有信息，還包括關(guān)于什么時候?qū)?shù)據(jù)進(jìn)行讀取的信息。還可以定義每一個數(shù)據(jù)庫的審查規(guī)范，所以審查配置可以為每一個數(shù)據(jù)庫作單獨(dú)的制定。為指定對象作審查配置使審查的執(zhí)行性能更好，配置的靈活性也更高。1.2、 可靠性可靠性就表現(xiàn)為：確保業(yè)務(wù)可持續(xù)性。主要體現(xiàn)在改進(jìn)了數(shù)據(jù)庫鏡像：SQLServer2008提供了更可靠的加強(qiáng)了數(shù)據(jù)庫鏡像的平臺。新的特性包括：頁面自動修復(fù)、提高了性能、加強(qiáng)了可支持性。1.3、 擴(kuò)展性擴(kuò)展性表現(xiàn)在：最佳的和可預(yù)測的系統(tǒng)性能。性能數(shù)據(jù)的采集：SQLServer推出了范圍更大的數(shù)據(jù)采集，一個用于存儲性能數(shù)據(jù)的新的集中的數(shù)據(jù)庫，以及新的報(bào)表和監(jiān)控工具。擴(kuò)展事件：SQLServer擴(kuò)展事件是一個用于服務(wù)器系統(tǒng)的一般的事件處理系統(tǒng)。擴(kuò)展事件基礎(chǔ)設(shè)施是一個輕量級的機(jī)制，它支持對服務(wù)器運(yùn)行過程中產(chǎn)生的事件的捕獲、過濾和響應(yīng)。這個對事件進(jìn)行響應(yīng)的能力使用戶可以通過增加前后文關(guān)聯(lián)數(shù)據(jù)，以此來快速的診斷運(yùn)行時問題。事件捕獲可以按幾種不同的類型輸出，包括Windows事件跟蹤，當(dāng)擴(kuò)展事件輸出到ETW時，操作系統(tǒng)和應(yīng)用程序就可以關(guān)聯(lián)了，這使得可以作更全面的系統(tǒng)跟蹤。備份壓縮：保持在線進(jìn)行基于磁盤的備份是很昂貴而且很耗時的。有了SQLServer2008備份壓縮，需要的磁盤I/O減少了，在線備份所需要的存儲空間也減少了，而且備份的速度明顯加快了。數(shù)據(jù)壓縮：改進(jìn)的數(shù)據(jù)壓縮使數(shù)據(jù)可以更有效的存儲，并且降低了數(shù)據(jù)的存儲要求。數(shù)據(jù)壓縮還為大型的限制輸入/輸出的工作負(fù)載例如數(shù)據(jù)倉庫提供了顯著的性能改進(jìn)。（5）資源監(jiān)控器：資源監(jiān)控器使數(shù)據(jù)庫管理員可以為不同的工作負(fù)載定義資源限制和優(yōu)先權(quán)，這使得并發(fā)工作負(fù)載可以為終端用戶提供穩(wěn)定的性能。二、高效的使得公司可以降低開發(fā)和管理他們的數(shù)據(jù)基礎(chǔ)設(shè)施的時間和成本。2.1、 基于政策的管理SQLServer推出了陳述式管理架構(gòu)（DMF），它是一個用于SQLServer數(shù)據(jù)庫引擎的新的基于策略的管理框架。陳述式管理提供了以下優(yōu)點(diǎn)：遵從系統(tǒng)配置的政策、監(jiān)控和防止通過創(chuàng)建不符合配置的政策來改變系統(tǒng)、通過簡化管理工作來減少公司的總成本、使用SQLServer管理套件查找遵從性問題。2.2、 改進(jìn)了安裝SQLServer對SQLServer的服務(wù)生命周期提供了顯著的改進(jìn)，它重新設(shè)計(jì)了安裝、建立和配置架構(gòu)。這些改進(jìn)將計(jì)算機(jī)上的各個安裝與SQLServer軟件的配置分離開來。2.3、 加速開發(fā)過程SQLServer提供了集成的開發(fā)環(huán)境和更高級的數(shù)據(jù)提取，使開發(fā)人員可以創(chuàng)建下一代數(shù)據(jù)應(yīng)用程序，同時簡化了對數(shù)據(jù)的訪問。通過對語言級設(shè)計(jì)來實(shí)現(xiàn)。同時，Transact-SQL也進(jìn)行了改進(jìn)。比如，SQLServer推出了新的日期和時間數(shù)據(jù)類型：DATE（—個只包含日期的類型，只使用3個字節(jié)來存儲一個日期）、TIME（—個只包含時間的類型，只使用3到5個字節(jié)來存儲精確到100納秒時間）、DATETIMEOFFSET（一個可辨別時區(qū)的日期/時間類型）、DATETIME2（一個具有比現(xiàn)有的DATETIME類型更精確的秒和年范圍的日期/時間類型）。2.4、 偶爾連接系統(tǒng)有了移動設(shè)備和活動式工作人員，偶爾連接成為了一種工作方式。 SQLServer推出了一個統(tǒng)一的同步平臺，使得在應(yīng)用程序、數(shù)據(jù)存儲和數(shù)據(jù)類型之間達(dá)到一致性同步。在與VisualStudio的合作下，SQLServer使得可以通過ADO.NET中提供的新的同步服務(wù)和VisualStudio中的脫機(jī)設(shè)計(jì)器快速的創(chuàng)建偶爾連接系統(tǒng)。SQLServer提供了支持，使得可以改變跟蹤和使客戶可以以最小的執(zhí)行消耗進(jìn)行功能強(qiáng)大的執(zhí)行，以此來開發(fā)基于緩存的、基于同步的和基于通知的應(yīng)用程序。2.5、不只是關(guān)系數(shù)據(jù)應(yīng)用程序正在結(jié)合使用越來越多的數(shù)據(jù)類型，而不僅僅是過去數(shù)據(jù)庫所支持的那些。SQLServer基于過去對非關(guān)系數(shù)據(jù)的強(qiáng)大支持，提供了新的數(shù)據(jù)類型使得開發(fā)人員和管理員可以有效的存儲和管理非結(jié)構(gòu)化數(shù)據(jù)，例如文檔和圖片。還增加了對管理高級地理數(shù)據(jù)的支持。除了新的數(shù)據(jù)類型，SQLServer還提供了一系列對不同數(shù)據(jù)類型的服務(wù)，同時為數(shù)據(jù)平臺提供了可靠性、安全性和易管理性。三、智能的SQLServer提供了一個全面的平臺，用于為用戶提供智能化。3.1集成任何數(shù)據(jù)SQLServer提供了一個全面的和可擴(kuò)展的數(shù)據(jù)倉庫平臺，它可以用一個單獨(dú)的分析存儲進(jìn)行強(qiáng)大的分析，以滿足成千上萬的用戶在幾兆字節(jié)的數(shù)據(jù)中的需求。SQLServer在數(shù)據(jù)倉庫方面的一些優(yōu)點(diǎn)為：數(shù)據(jù)壓縮、備份壓縮、分區(qū)表并行、星型聯(lián)接查詢優(yōu)化器、資源監(jiān)控器、分組設(shè)置、捕獲變更數(shù)據(jù)。為了使開發(fā)人員可以更有效地處理數(shù)據(jù)倉庫的場景，SQLServer提供了MERGESQL語句。為了實(shí)現(xiàn)可擴(kuò)展的數(shù)據(jù)倉庫平臺提供了可擴(kuò)展的集成服務(wù)，集成服務(wù)的可擴(kuò)展性方面的兩個關(guān)鍵優(yōu)勢是：管道改進(jìn)、SSIS持久查找。3.2、可以自動的發(fā)送相應(yīng)的報(bào)表SQLServer使得公司可以有效的以用戶想要的格式和他們的地址發(fā)送相應(yīng)的、個人的報(bào)表給成千上萬的用戶。通過提供了交互發(fā)送用戶需要的企業(yè)報(bào)表，獲得報(bào)表服務(wù)的用戶數(shù)目大大增加了。這使得用戶可以獲得對他們各自領(lǐng)域的洞察的相關(guān)信息的及時訪問，使得他們可以作出更好、更快、更符合的決策。SQLServer使得所有的用戶可以通過下面的報(bào)表改進(jìn)之處來制作、管理和使用報(bào)表：企業(yè)報(bào)表引擎、新的報(bào)表設(shè)計(jì)器、強(qiáng)大的可視化、MicrosoftOffice渲染（使得用戶可以從Word里直接訪問報(bào)表）、MicrosoftSharePointServices深度集成（使得用戶可以訪問包含了與他們直接在商業(yè)門戶中所做的決策相關(guān)的結(jié)構(gòu)化和非結(jié)構(gòu)化信息的報(bào)表）。3.3、使用戶獲得全面的洞察力為所有用戶提供了更快的查詢速度。這個性能的提升使得公司可以執(zhí)行具有許多維度和聚合的非常復(fù)雜的分析。其中，SQLServer分析服務(wù)具有下面的分析優(yōu)勢：設(shè)計(jì)為可擴(kuò)展的、塊計(jì)算、回寫到MOLAP、資源監(jiān)控器、預(yù)測分析。MicrosoftSQLServer是一個重大的產(chǎn)品版本，正是它推出的這些新的特性和關(guān)鍵的改進(jìn)，使得它成為至今為止的最強(qiáng)大和最全面的MicrosoftSQLServer版本。四、安全性4.1、安全機(jī)制SQLServer整個安全體系結(jié)構(gòu)從順序上可以分為認(rèn)證和授權(quán)兩個部分，其安全機(jī)制可以分為5個層級：客戶機(jī)安全機(jī)制、網(wǎng)絡(luò)傳輸?shù)陌踩珯C(jī)制、實(shí)例級別安全機(jī)制、數(shù)據(jù)庫級別安全機(jī)制、對象級別安全機(jī)制。這些層級由高到低，所有的層級之間相互聯(lián)系，用戶只有通過了高一層的安全驗(yàn)證，才能繼續(xù)訪問數(shù)據(jù)庫中低一層的內(nèi)容。客戶機(jī)安全機(jī)制一一數(shù)據(jù)庫管理系統(tǒng)需要運(yùn)行在某一特定的操作系統(tǒng)平臺下，客戶機(jī)操作系統(tǒng)的安全性直接影響到SQLServer2012的安全性。在用戶用客戶機(jī)通過網(wǎng)絡(luò)訪問SQLServer2012服務(wù)器時，用戶首先要獲得客戶機(jī)操作系統(tǒng)的使用權(quán)限。保護(hù)操作系統(tǒng)的安全性是操作系統(tǒng)管理員或網(wǎng)絡(luò)管理員的任務(wù)。網(wǎng)絡(luò)傳輸?shù)陌踩珯C(jī)制一一SQLServer2012對關(guān)鍵數(shù)據(jù)進(jìn)行了加密，即使攻擊者通過了防洪墻和服務(wù)器上的操作系統(tǒng)達(dá)到了數(shù)據(jù)庫，還要對數(shù)據(jù)進(jìn)行破解。SQLServer2012有兩種對數(shù)據(jù)加密的方式：數(shù)據(jù)加密和備份加密。數(shù)據(jù)加密：數(shù)據(jù)加密執(zhí)行所有數(shù)據(jù)庫級別的加密操作，消除了應(yīng)用程序開發(fā)人員創(chuàng)建定制的代碼來加密和解密數(shù)據(jù)的過程，數(shù)據(jù)在寫到磁盤時進(jìn)行加密，從磁盤讀的時候進(jìn)行解密。使用SQLServer來管理加密和解密，可以保護(hù)數(shù)據(jù)庫中的業(yè)務(wù)數(shù)據(jù)而不必對現(xiàn)有的應(yīng)用程序做任何更改。備份加密：對備份進(jìn)行加密可以防止數(shù)據(jù)泄露和被篡改。實(shí)例級別安全機(jī)制 SQLServer2012采用了標(biāo)準(zhǔn)SQLServer登陸和集成Windows登陸兩種。無論使用哪種登陸方式，用戶在登錄時必須提供密碼和賬號，管理和設(shè)計(jì)合理的登陸方式是SQLServer數(shù)據(jù)庫管理員的重要任務(wù)，也是SQLServer安全體系中重要的組成部分。SQLServer2012服務(wù)器中預(yù)設(shè)了很多固定服務(wù)器的角色，用來為具有服務(wù)器管理員資格的用戶分配使用權(quán)限，固定服務(wù)器角色的成員可以用于服務(wù)器級的管理權(quán)限。數(shù)據(jù)庫級別安全機(jī)制一一在建立用戶的登陸賬號信息時，SQLServer提示用戶選擇默認(rèn)的數(shù)據(jù)庫，并分給用戶權(quán)限，以后每次用戶登錄服務(wù)器后，會自動轉(zhuǎn)到默認(rèn)數(shù)據(jù)庫上。SQLServer2012允許用戶在數(shù)據(jù)庫上建立新的角色，然后為該用戶授予多個權(quán)限，最后再通過角色將權(quán)限賦予給SQLServer2012的用戶，使其他用戶獲取具體數(shù)據(jù)的操作權(quán)限。對象級別安全機(jī)制對象安全性檢查是數(shù)據(jù)庫管理系統(tǒng)的最后一個安全的等級。創(chuàng)建數(shù)據(jù)庫對象時，SQLServer2012將自動把該數(shù)據(jù)庫對象的用戶權(quán)限賦予該對象的所有者，對象的擁有者可以實(shí)現(xiàn)該對象的安全控制。4.2、加密增強(qiáng)功能在加密方面有兩個主要改進(jìn)。第一，SQLServer現(xiàn)在可以使用存儲在外部第三方硬件安全模塊上的加密密鑰。第二，對于存儲在SQLServer中的數(shù)據(jù)，可采用對連接到該數(shù)據(jù)庫的應(yīng)用程序透明的方法來對其進(jìn)行加密。即意味著數(shù)據(jù)庫管理員可輕松地對整個數(shù)據(jù)庫中存儲的所有數(shù)據(jù)進(jìn)行加密，而不必修改現(xiàn)有的應(yīng)用程序代碼。第一個改進(jìn)是通過新的可擴(kuò)展密鑰管理（EKM）功能來實(shí)現(xiàn)的，在SQLServer2008Enterprise、Developer和Evaluation版本中提供有該功能。EKM使企業(yè)密鑰管理和硬件安全模塊（HSM）解決方案的第三方供應(yīng)商可在SQLServer中注冊其設(shè)備。一旦注冊了這些設(shè)備，用戶便可使用這些模塊中存儲的加密密鑰。此類供應(yīng)商甚至還可在這些模塊中提供高級加密功能（如密鑰老化和密鑰輪換）。在某些配置中，它允許使用并非系統(tǒng)管理員組成員的數(shù)據(jù)庫管理員所提供的數(shù)據(jù)保護(hù)。隨后，T-SQL加密語句可使用存儲在外部EKM設(shè)備上的密鑰來加密和解密數(shù)據(jù)。另一新功能是透明數(shù)據(jù)加密，它允許您在不必更改任何應(yīng)用程序的情況下加密數(shù)據(jù)庫文件。它可對數(shù)據(jù)和日志文件執(zhí)行實(shí)時I/O加密和解密。加密所使用的數(shù)據(jù)庫加密密鑰（DEK）存儲在數(shù)據(jù)庫引導(dǎo)記錄中，以便在恢復(fù)時仍可使用。DEK的安全則由存儲在服務(wù)器主數(shù)據(jù)庫中的一個證書來保證。圖1中的圖表顯示了實(shí)現(xiàn)透明數(shù)據(jù)加密的體系結(jié)構(gòu)。V/inMw蜃操的嘛班繳數(shù)剜氓護(hù)API（DPAPI）Jdrapi加戦胞松生密罰SQLSe^er2M5賓例螳別寶波SQLServer肘創(chuàng)性帕已殍主密鉗]“服松主密tT加密主數(shù)擁昨的數(shù)抿席主帝鑰SQL詵你CREATEMASTERKEY上數(shù)曙昨的“數(shù)折儒主密鑰“在上數(shù)那斥中創(chuàng)述證書SQL語旬：CREATECERTIFICATE證卄對用廣馥據(jù)中的敵攔磨抓密莆鑰進(jìn)行加贈外理SQL講句二SQL講句二CREATEDATABASE,ENCRYPTIONKEY通過使用透叩數(shù)掘劇JU密，由用戶數(shù)據(jù)廐的“數(shù)撫應(yīng)主密和對戡牛用戶監(jiān)據(jù)澤加I以防護(hù).SQLtftidsALTERDATABLE...SETENCRVPT10NON4.3、密的體系結(jié)構(gòu)它對于保護(hù)空閑數(shù)據(jù)非常有用。盡管可使用多種防范措施來幫助保護(hù)數(shù)據(jù)庫的安全（如加密機(jī)密資產(chǎn)和為數(shù)據(jù)庫服務(wù)器安裝防火墻），但存儲數(shù)據(jù)庫的物理介質(zhì)（甚至備份磁帶）還是有其他漏洞。惡意用戶可盜取該介質(zhì)，并且有可能訪問到介質(zhì)中存儲的數(shù)據(jù)。但是，透明數(shù)據(jù)加密可加密數(shù)據(jù)庫中的敏感數(shù)據(jù)，并且使用證書來保護(hù)用于加密數(shù)據(jù)的密鑰。它可幫助您的組織遵循與正確保護(hù)數(shù)據(jù)相關(guān)的眾多法律、法規(guī)和行業(yè)準(zhǔn)則。透明數(shù)據(jù)加密允許軟件開發(fā)人員使用高級加密標(biāo)準(zhǔn)（AES）和三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)（3DES）加密算法來加密數(shù)據(jù)。數(shù)據(jù)庫文件的加密是在頁面級執(zhí)行的，在寫入磁盤之前加密頁面，然后在讀入內(nèi)存時進(jìn)行解密。對于啟用了透明數(shù)據(jù)加密的數(shù)據(jù)庫備份文件，也使用數(shù)據(jù)庫加密密鑰進(jìn)行了加密。要恢復(fù)已加密的數(shù)據(jù)庫，您必須有權(quán)訪問用于加密數(shù)據(jù)庫的證書或非對稱密鑰。如果沒有證書或非對稱密鑰，您將無法恢復(fù)數(shù)據(jù)庫。因此，請務(wù)必保留訪問相關(guān)備份所需的任意密鑰。4.4、身份驗(yàn)證增強(qiáng)功能您可能知道，Kerberos是一種網(wǎng)絡(luò)身份驗(yàn)證協(xié)議，用于為網(wǎng)絡(luò)中的客戶端和服務(wù)器實(shí)體（或安全主體）進(jìn)行相互驗(yàn)證提供一種高度安全的方法。Kerberos可幫助用戶減少安全漏洞（如引誘攻擊和中間人攻擊。與Windows?NTLM身份驗(yàn)證相比，Kerberos更安全、更可靠，并且提供更好的性能。要使用Kerberos對連接進(jìn)行相互身份驗(yàn)證，必須在ActiveDirectory?中注冊SQLServer實(shí)例的服務(wù)主體名稱（SPN），并且客戶端驅(qū)動程序必須在連接時提供已注冊的SPN。在SQLServer中，Kerberos身份驗(yàn)證已擴(kuò)展到所有網(wǎng)絡(luò)協(xié)議，包括TCP、命名管道、共享內(nèi)存和虛擬接口適配器（VIA）。默認(rèn)情況下，客戶端驅(qū)動程序會自動推斷出所連接SQLServer實(shí)例的正確SPN。還可在連接字符串參數(shù)中顯式指定SPN，以提供更好的安全性、控制和故障排除功能。Internet信息服務(wù)（IIS）不再提供對ASP.NET、報(bào)表管理器或報(bào)表服務(wù)器Web服務(wù)的訪問。在SQLServer中，報(bào)告服務(wù)通過新的身份驗(yàn)證子系統(tǒng)來處理所有的身份驗(yàn)證請求，該子系統(tǒng)支持基于Windows的身份驗(yàn)證和自定義身份驗(yàn)證。報(bào)告服務(wù)現(xiàn)在包含內(nèi)置到SQLServer公共語言運(yùn)行庫（CLR）中的Microsoft?.NETFramework和ASP.NET技術(shù)，并且報(bào)告服務(wù)還可以使用操作系統(tǒng)的HTTP.SYS功能。報(bào)表服務(wù)器包括一個HTTP偵聽程序，以接受定向到在服務(wù)器配置過程中所定義的URL和端口處的請求。URL保留和注冊現(xiàn)由報(bào)表服務(wù)器通過HTTP.SYS直接管理。4.5、安全審核SQLServerAudit是一項(xiàng)新功能，可通過它來創(chuàng)建自定義的數(shù)據(jù)庫引擎事件審核。該功能使用擴(kuò)展事件來記錄審核信息，并且提供在各種服務(wù)器和數(shù)據(jù)庫對象上啟用、存儲和查看審核所需的工具和過程。SQLServerAudit還比SQLServerTrace更快，并且SQLServerManagementStudio使審核日志的創(chuàng)建和監(jiān)控變得簡單。現(xiàn)在，審核級別更加精細(xì)，甚至可以捕獲單個用戶的SELECT、INSERT、UPDATE、DELETE、REFERENCES和EXECUTE語句。另外，SQLServerAudit可通過T-SQL語句CREATESERVERAUDIT和CREATESERVERAUDITSPECIFICATION以及相關(guān)的ALTER和DROP語句來實(shí)現(xiàn)完全腳本化。要建立審核，需創(chuàng)建審核并指定記錄所審核事件的位置。審核可保存到Windows安全日志、Windows應(yīng)用程序日志或指定位置的文件中。為審核命名并配置其特征（如審核文件的路徑和最大大?。?。還可選擇在審核失敗時關(guān)閉SQLServer。如果需將所審核事件記錄到多個位置，只需創(chuàng)建多個審核即可。下一步是創(chuàng)建一個或多個審核規(guī)范。服務(wù)器審核規(guī)范收集有關(guān)SQLServer實(shí)例的信息，并且包括服務(wù)器范圍內(nèi)的對象（如登錄和服務(wù)器角色成員身份）。它還包括在主數(shù)據(jù)庫中管理的數(shù)據(jù)庫信息（如數(shù)據(jù)庫訪問權(quán)限）。在定義審核規(guī)范時，需指定由哪個審核來接收監(jiān)控事件?？啥x多個服務(wù)器審核和多個服務(wù)器審核規(guī)范，但每個服務(wù)器審核每次僅可包含一個已啟用的服務(wù)器審核規(guī)范。也可創(chuàng)建用于監(jiān)控單個數(shù)據(jù)庫中事件的數(shù)據(jù)庫審核規(guī)范。可向一個審核添加多個數(shù)據(jù)庫審核規(guī)范，但一個服務(wù)器審核一次僅可為每個數(shù)據(jù)庫啟用一個數(shù)據(jù)庫審核規(guī)范。用于服務(wù)器審核規(guī)范的SQLServer審核操作事件被分組到相關(guān)審核操作事件集合中。它們以審核操作組形式公開。當(dāng)把某個組添加到審核規(guī)范時，您將監(jiān)控到該組中包含的所有事件。例如，有一個名為DBCC_GROUP的審核操作組，它使用DBCC命令。但是，無法單獨(dú)審核DBCC命令。服務(wù)器可用的審核操作組有35個，其中一些組又彼此密切相關(guān)。例如，有SUCCESSFUL_LOGIN_GROUP、FAILED_LOGIN_GROUP和LOGOUT_GROUP。還有一個AUDIT_CHANGE_GROUP，包含可用于對審核過程進(jìn)行審核的審核操作類型。數(shù)據(jù)庫審核規(guī)范也可指定收集到數(shù)據(jù)庫級別審核操作組中的審核操作事件組。除審核操作組外，數(shù)據(jù)庫審核規(guī)范還可包括對審核數(shù)據(jù)操作語言語句進(jìn)行審核的單獨(dú)審核操作事件?？蓪⑦@些事件配置為監(jiān)控整個數(shù)據(jù)庫，或僅監(jiān)控特定數(shù)據(jù)庫對象。例如，SELECT審核操作可用于審核對單個表或整個架構(gòu)的SELECT查詢。也可將這些事件配置為監(jiān)控特定用戶或角色(如所有db_writer)的操作。例如，可使用SELECT審核操作來審核用戶Mary或FINANCE_DEPT數(shù)據(jù)庫角色或公共數(shù)據(jù)庫角色對單個表的SELECT查詢。很明顯，它在創(chuàng)建所需審核方面提供了極大的控制功能和靈活性。4.6、依賴關(guān)系報(bào)告依賴關(guān)系報(bào)告有所改進(jìn)，包括有新的目錄視圖和新的系統(tǒng)功能。如果使用sys.sql_expression_dependencies、sys.dm_sql_referencing_entities和sys.dm_sql_referenced_entities,可針對架構(gòu)綁定對象和非架構(gòu)綁定對象的服務(wù)器之間、數(shù)據(jù)庫之間以及數(shù)據(jù)庫SQL依賴關(guān)系提供報(bào)告。4.7、新的數(shù)據(jù)庫角色msdb數(shù)據(jù)庫中包含的數(shù)據(jù)庫角色發(fā)生了一些變化。db_dtsadmin角色已重命名為db_ssisadmin，db_dtsltduser角色已重命名為db_ssisltduser，并且db_dtsoperator角色已重命名為db_ssisoperator。為支持向后兼容性，在服務(wù)器升級時，將把原來的角色添加為新角色的成員。除這些更改外，還添加了新的數(shù)據(jù)庫角色來支持SQLServer2008的新功能。特別地，msdb數(shù)據(jù)庫包含用于服務(wù)器組的新角色(ServerGroupAdministratorRole和ServerGroupReaderRole)、用于基于策略的管理的新角色(PolicyAdministratorRole)和用于數(shù)據(jù)收集器的新角色(dc_admin、dc_operator和dc_proxy)。并且，管理數(shù)據(jù)倉庫數(shù)據(jù)庫也包含用于數(shù)據(jù)收集器的新角色(mdw_admin、mdw_writer和mdw_reader)。4.8、FILESTREAM安全性現(xiàn)在，SQLServer支持FILESTREAM存儲，因而SQLServer應(yīng)用程序可在文件系統(tǒng)中存儲非結(jié)構(gòu)化數(shù)據(jù)(如文檔和圖像)。反過來，它意味著客戶端應(yīng)用程序可從文件系統(tǒng)的流式API和性能獲益，同時仍維持非結(jié)構(gòu)化數(shù)據(jù)和對應(yīng)結(jié)構(gòu)化數(shù)據(jù)之間的事務(wù)一致性。FILESTREAM數(shù)據(jù)必須存儲在FILESTREAM文件組中一它是包含文件系統(tǒng)目錄而非實(shí)際文件的特殊文件組。這些稱為數(shù)據(jù)容器的目錄提供數(shù)據(jù)庫引擎存儲和文件系統(tǒng)存儲之間的接口。從安全性方面看，F(xiàn)ILESTREAM數(shù)據(jù)與所有其他數(shù)據(jù)的安全性相同一在表級別或列級別授予權(quán)限。授予對FILESTREAM容器的NTFS權(quán)限的唯一帳戶是運(yùn)行SQLServer服務(wù)的帳戶。當(dāng)數(shù)據(jù)庫處于打開狀態(tài)時，SQLServer會限制對FILESTREAM數(shù)據(jù)容器的訪問，使用T-SQL事務(wù)和OpenSqlFilestreamAPI進(jìn)行的訪問除外。4.9、基于策略的管理SQLServer基于策略的管理為管理SQLServer提供了一個新系統(tǒng)。可創(chuàng)建策略來測試和報(bào)告SQLServer的多個方面，并且可將策略應(yīng)用于單個數(shù)據(jù)庫、單個SQLServer實(shí)例或所管理的所有SQLServer。通過使用基于策略的管理，可測試SQLServer配置選項(xiàng)和許多安全設(shè)置。并且，對于某些安全設(shè)置，可創(chuàng)建策略來檢測不符合法規(guī)的數(shù)據(jù)庫服務(wù)器，并采取措施強(qiáng)制其遵守法規(guī)。在SQLServer中，默認(rèn)禁用了許多不必要的功能，以最小化遭受攻擊的風(fēng)險?？墒褂没诓呗缘墓芾韥碛羞x擇性地啟用所需的任何其他功能。然后，可定期評估配置，如果發(fā)現(xiàn)配置設(shè)置與策略不匹配，會收到警報(bào)。基于策略的管理將相關(guān)屬性歸納成組，并將其放到稱為層面的組件中。例如，外圍應(yīng)用配置器層面包含用于即席遠(yuǎn)程查詢、CLR集成、數(shù)據(jù)庫郵件、OLE自動化、遠(yuǎn)程DAC、SQL郵件、Web助手和xp_cmdshell的屬性?？蓜?chuàng)建策略來啟用CLR集成但禁用所有其他功能。策略可包含復(fù)雜的條件語句，如禁用除名為Customer_Response以外的所有SQLServer實(shí)例的數(shù)據(jù)庫郵件。創(chuàng)建完策略后，可在所有服務(wù)器上評估該策略，以生成報(bào)告來告知您哪些服務(wù)器不遵守該策略。按“Configure”（配置）按鈕，所有不符合策略的實(shí)例都

將配置該策略設(shè)置。還應(yīng)制定計(jì)劃定期運(yùn)行該策略，以監(jiān)控服務(wù)器的狀態(tài)。為數(shù)據(jù)庫引擎、分析服務(wù)和報(bào)告服務(wù)提供了外圍應(yīng)用配置器層面。