校园网环境中SQL Server数据库安全体系的研究
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安 全 体 系
的用 户无 法 进 入 数据 库 ; 据 库 可 用 性 则指 的是 对 于 授权 用 户 , 数 数据 行简单的查询和复制操作 ; 特权数据库用户 : 拥有支配部分数据库信 库 能够 提 供 良好 的 人机 交 互 界 面 ,使 其 能够 方便 地 对 数 据 信 息进 行 息 的权 限 ; A 管理 员 具 有 D A 特 权 。 通 过 控 制 不 同权 限 的用 户 DB B 查 询 、 索和 修 改 。 检 对 数 据 库 的 操作 范 围 ,数据 库 管理 员可 以通 过 对 用 户 的鉴 别 及授 权 随着 校 园网 服 务 内容 的增 加 、 访 问量 的增 多 以及 数 据 库 库 安 全 实现 S ev r 安全 性 。 QL S re 的 模 型 的演 化 ,数 据库 安全 体 系 也从 , 要加 强对 S ev r 接状 态 的 监控 。S ev r QL S re 连 OL S re 连 网络 , 这就使数据库的安全威胁更加多样化。 为使数据库 系统能够提 接 状 态 可 以 反 映 出 正 在 访 问 数 据 库 的对 象 , 因 此 这 是 保 证 S QL 供 正 常 的信 息 服 务 , 有效 避 免 入侵 和 破 坏 ,就 需 要构 建 一 个 安 全体 S re 数据库安全的一个有效措 施。由于校 园网用户众多 , 以需 e r v 所 系 , 实 现诸 如身 份 认 证 、 取 控 制 、 全 审计 、 侵 检 测 等 功 能 。 来 存 安 入 要 对 大 量 的 S ev r 接 状 态进 行 监 控 。 QL S re 连 22安全体 系的构建 根据以上的需求 , . 可以将数据库系统安全 第 四 , 定 期 进 行 数据 的备 份 操 作 。 是 防 止 数据 破 坏 的最 基本 要 这 划 分 网络 的安 全 、 操作 系统 的 安 全 以及 数 据 库 管理 系统 本 身 的 安 全 的防 范 措 施 。 般 来 讲 , 园 网 的 网络 服 务 器 均 具 备 可 以设 置 的 定 时 一 校 三 个 层 次 , 图所 示 如 备份 功 能 , 备份 操 作 由 S ev r 据库 服 务 器 进 行 。 时 备 份可 QL S re 数 定 以有 效 的 应 对 数据 灾 难 ,增 强 系 统数 据 的安 全 性 。 常用 的备 份 方式 有 : 用 S ev r“ 业 管 理 器 ” 图 形 化 向 导 来 实 现 备 份 : 使 QL S re 企 的 直 接在 系统命令 窗口使用 B c u /R soe命令 :直接进行数据 文件 a k p e tr 的分 离 操 作 与 附加 操 作 等 。 进 行 备 份 操作 时 , 该 结合 校 园网 数据 在 应 库 的 实 际 情 况 , 理选 择 备份 的周 期 和 备份 的数 据 载体 。周 期 太 长 , 合 备份 就 失 去 了 意 义 , 期 太短 则 会 浪 费 系 统 资 源 ; 体 的选 择 同样 周 而载 重 要 , 该 将 备 份 介质 保 存 数份 , 选 择 异 地 保 存 或 者 网络 备 份 。 应 且 第 五 , 对 S ev r 针 QL S re 的安全 漏洞 , 该及 时地 进行 补 丁程 序 的 应 安 装 。漏 洞 的安 全 风 险在 于 : 为攻 击者 提 供 了绕 过 数 据库 安 全 配 置 它 图 1: QL S re 数 据 库 安全 体 系的 分 层 构 建模 型 示意 图 S ev r 的途 径 , 攻 击 者 长 驱 直 入 , 入 数据 库 执 行 恶 意 代 码 或者 窃 取 敏 感 使 进 网 络 安 全 、 操 作 系统 安 全 以 及 数 据 库 管 理 系 统 安 全 是 S QL 造成巨大损失。解决这一问题的有效 方法就是及时给数据库系 S re 数 据 库 的 安 全体 系组 成 部 分 。三 个 层 次 由 外到 内保 证 了 数 据 信息 , ev r 统 安 装补 丁程 序 。此 外 , 要运 行 S ev r MB A, 通过 系 还 QLS re 的 S 从而 库系统的信息安全, 其重要性也逐层加强 , 下面针对每一个层次的体 统密 码 、 户权 限 、 问控 制 等 方法 进行 安 全 隐 患查 询 , 醒 用 户遗 失 用 访 提 系构 建 分别 进 行 阐 述 。 的补 丁和 安装 包 。通 过正 版软 件 注册 微软 公 司 的 S ev r QL S re 安全 通 221 网络 系 统 的安 全体 系构 建 网络 安 全 是 数据 库 安 全 体 系 最 . . 及时 获取 网络 入 侵 的最 新动 态并 采取 相 应 的防范 措施 。 外 �
校 园 网环 境 中 S ev r 据 库 安 全 体 系 的研 究 QL S re 数
邓楠 ( 广州市交 通高 级技工学校)
摘 要 : QL S e 数 据库 技 术 已经 广 泛 应 用 于校 园 网环 境 中。 本 文 结 远程访 问用户提供服务 ,所 以即使安装了防火墙 ,QLS re 的服 S ev r r S ev r 合 校 园 网 的实 际 特 点 和 安 全 需 求 ,分 析 S S re 数 据库 系 统 的 安 全 薄 务 端 口 13 QL ev r 4 3一 般 来 讲 也是 处 于 开放 状 态 的。而攻 击 S e e 的 QLS r r v 弱 之 处 , 针 对 性 地 制定 了安 全 管 理 体 系 与 策 略。 有 关键 词 : QL S re 安 全 需 求 S ev r
不 少工 具 均 是 通 过 对 1 3 4 3端 口进 行 扫 描 而 达 到 目的 ,因 此 应该 对 S ev r QL S re 的服务端 口进行重新设置 , 改变系统 的默认端 口。 0 引言 222操作 系统的安全体 系构建 在操作系统的层面上 , ._ 主要 防 随着 信 息 技 术 的 飞速 发 展 和应 用 的逐 步 深 入 ,数 据 库 技 术 已经 范 的是 来 自网 络 内使 用 的操 作 系统 的安 全 , 例 来 讲 , 园 网数据 库 举 校 广泛应用于校 园网环境 中。 S ev r 目前被不少 院校普遍采 普 遍 运 行 于 其 上 的 W id ws 2 0 QL S r 是 e n o 0 0以 及 N T等 操作 系 统 , 易 由于 极 用 的 数据 库 系 统 , 储着 大量 的关 键 数据 , 果 这 些数 据 被 未 经 授权 操 作 系统 本 身 的安 全 漏 洞 、 对操 作 系统 不 合 理 的 配置 或 者 病毒 的破 存 如 的人 非法 侵 入 , 取 或者 破 坏 , 会 造 成 不 可 估量 的损 失 。 怎样 构 建 坏而导致数据库遭 受安全隐患。 窃 就 所以 , 应部署安全性能高的网络操作 数据 库 应 用 系 统 的 安 全体 系 , 强 S ev r 据 库 的安 全 性 能 , 系统 , 做 好 安 全 设 置 : 外 , 荐 选 择 N F 加 QL S re 数 并 此 推 T S作 为安 装 S ev r QL S re 保 证其 数 据 的保 密性 、 完整 性 和 可 用性 是一 个 值 得研 究 的重 要 课 题 。 的文件系统。因为 N F T S的稳定性优于 F T 且容 易恢复 ; A , 最后要注 1S ev r 安 全 隐 患分 析 QL S re 的 意 的 是 及 时对 操 作 系统 进 行 漏洞 分析 和 补 丁 安 装 , 以便 于 在最 大 的 校 园 网数 据库 的 安全 , 要指 的是 数据 库 中 的信 息 不被 未 经 授权 主 限度 内保证系统数据库的安全。 的用 户查 看 、 改和 破 坏 。虽 然 S ev r 更 QLS r 数据 库 管理 系统 拥 有 了 e 223 数 据 库 管 理 系 统 安 全 体 系 的 构 建 对 于 S ev r .. QL S re 来 较 为 严 密 的安 全 实 现机 制 , 但是 绝 对 的 安 全 是不 存 在 的 , 系统 中仍 然 讲 , 先, 采用“ 图” 首 应 视 的模 式 对 数据 库 进 行 维 护 。 可 以将 “ 图 ” 视 模 存 在 一 些安 全 漏 洞 , 非 法侵 入 者 提 供 了 入侵 机 会 , 数 据 被 窃 取 或 式理解为一种 有效 的信息隔离保 护机制 ,通过对用户进行授权访 问 为 使 者破坏 , 造成较 为严重的后 果。此外 , 由于数据库 管理者安全意识不 控 制 , 能够 尽 量 减 少 不 必 要 的基 表 操 作和 修 改。 此 外 , 由于 不 同用 户 强 , 些 数据 库用 户 的 一些 错误 操 作也 能 给数 据库 带 来 安全 威胁 。 或某 的权 限范围不 同, 用户在 “ 该 视图 ” 式下无法看到其权 限之外 的数 模 2 S e v r 据库 安 全 体 系 的构 建 QL S re s数 据 内容 , 证 了数 据 的 安全 性 。 保 21 数 据 库 安 全 需 求 校 园 网 中 的 数 据 库 系统 对 安 全 的 具 体 需 . 其 次 , 该 对 用 户进 行 严 格 的 区 分 , 定 相 应 的访 问控 制范 围与 应 设 求可以用完整性、 保密性和 可用性来概括。所谓数据库的完整性 , 指 权 限 , 这也 是 数 据 库 安 全 的一 个 重 要 手段 。S e e 可 以实 现访 QL S r r v 的是 数据 库 中 的信 息 能 够 保 持 物 理 上 和 逻 辑 上 两个 方面 的 完 整 性 ; 问控 制 权 限 与数 据 库 的 独 立 性 ,即某 一 用 户 的 访 问权 限只 针 对 一 个 数 据库 的保 密 性 指 的是 只 有 经 过授 权 的用 户 ,才 能进 入 数 据 库 系 统 特定的数据库 。 结合校 园网的实际维护和应用情况 , 以把其数据库 可 进行与实际权限范围相关的数据查询与数据 存取操作 ,而未被授权 用 户 分 为 三 个 类别 , 别是 一般 数 据 库 用 户 : 能对 一 般 性 的 数据 进 分 只
的用 户无 法 进 入 数据 库 ; 据 库 可 用 性 则指 的是 对 于 授权 用 户 , 数 数据 行简单的查询和复制操作 ; 特权数据库用户 : 拥有支配部分数据库信 库 能够 提 供 良好 的 人机 交 互 界 面 ,使 其 能够 方便 地 对 数 据 信 息进 行 息 的权 限 ; A 管理 员 具 有 D A 特 权 。 通 过 控 制 不 同权 限 的用 户 DB B 查 询 、 索和 修 改 。 检 对 数 据 库 的 操作 范 围 ,数据 库 管理 员可 以通 过 对 用 户 的鉴 别 及授 权 随着 校 园网 服 务 内容 的增 加 、 访 问量 的增 多 以及 数 据 库 库 安 全 实现 S ev r 安全 性 。 QL S re 的 模 型 的演 化 ,数 据库 安全 体 系 也从 , 要加 强对 S ev r 接状 态 的 监控 。S ev r QL S re 连 OL S re 连 网络 , 这就使数据库的安全威胁更加多样化。 为使数据库 系统能够提 接 状 态 可 以 反 映 出 正 在 访 问 数 据 库 的对 象 , 因 此 这 是 保 证 S QL 供 正 常 的信 息 服 务 , 有效 避 免 入侵 和 破 坏 ,就 需 要构 建 一 个 安 全体 S re 数据库安全的一个有效措 施。由于校 园网用户众多 , 以需 e r v 所 系 , 实 现诸 如身 份 认 证 、 取 控 制 、 全 审计 、 侵 检 测 等 功 能 。 来 存 安 入 要 对 大 量 的 S ev r 接 状 态进 行 监 控 。 QL S re 连 22安全体 系的构建 根据以上的需求 , . 可以将数据库系统安全 第 四 , 定 期 进 行 数据 的备 份 操 作 。 是 防 止 数据 破 坏 的最 基本 要 这 划 分 网络 的安 全 、 操作 系统 的 安 全 以及 数 据 库 管理 系统 本 身 的 安 全 的防 范 措 施 。 般 来 讲 , 园 网 的 网络 服 务 器 均 具 备 可 以设 置 的 定 时 一 校 三 个 层 次 , 图所 示 如 备份 功 能 , 备份 操 作 由 S ev r 据库 服 务 器 进 行 。 时 备 份可 QL S re 数 定 以有 效 的 应 对 数据 灾 难 ,增 强 系 统数 据 的安 全 性 。 常用 的备 份 方式 有 : 用 S ev r“ 业 管 理 器 ” 图 形 化 向 导 来 实 现 备 份 : 使 QL S re 企 的 直 接在 系统命令 窗口使用 B c u /R soe命令 :直接进行数据 文件 a k p e tr 的分 离 操 作 与 附加 操 作 等 。 进 行 备 份 操作 时 , 该 结合 校 园网 数据 在 应 库 的 实 际 情 况 , 理选 择 备份 的周 期 和 备份 的数 据 载体 。周 期 太 长 , 合 备份 就 失 去 了 意 义 , 期 太短 则 会 浪 费 系 统 资 源 ; 体 的选 择 同样 周 而载 重 要 , 该 将 备 份 介质 保 存 数份 , 选 择 异 地 保 存 或 者 网络 备 份 。 应 且 第 五 , 对 S ev r 针 QL S re 的安全 漏洞 , 该及 时地 进行 补 丁程 序 的 应 安 装 。漏 洞 的安 全 风 险在 于 : 为攻 击者 提 供 了绕 过 数 据库 安 全 配 置 它 图 1: QL S re 数 据 库 安全 体 系的 分 层 构 建模 型 示意 图 S ev r 的途 径 , 攻 击 者 长 驱 直 入 , 入 数据 库 执 行 恶 意 代 码 或者 窃 取 敏 感 使 进 网 络 安 全 、 操 作 系统 安 全 以 及 数 据 库 管 理 系 统 安 全 是 S QL 造成巨大损失。解决这一问题的有效 方法就是及时给数据库系 S re 数 据 库 的 安 全体 系组 成 部 分 。三 个 层 次 由 外到 内保 证 了 数 据 信息 , ev r 统 安 装补 丁程 序 。此 外 , 要运 行 S ev r MB A, 通过 系 还 QLS re 的 S 从而 库系统的信息安全, 其重要性也逐层加强 , 下面针对每一个层次的体 统密 码 、 户权 限 、 问控 制 等 方法 进行 安 全 隐 患查 询 , 醒 用 户遗 失 用 访 提 系构 建 分别 进 行 阐 述 。 的补 丁和 安装 包 。通 过正 版软 件 注册 微软 公 司 的 S ev r QL S re 安全 通 221 网络 系 统 的安 全体 系构 建 网络 安 全 是 数据 库 安 全 体 系 最 . . 及时 获取 网络 入 侵 的最 新动 态并 采取 相 应 的防范 措施 。 外 �
校 园 网环 境 中 S ev r 据 库 安 全 体 系 的研 究 QL S re 数
邓楠 ( 广州市交 通高 级技工学校)
摘 要 : QL S e 数 据库 技 术 已经 广 泛 应 用 于校 园 网环 境 中。 本 文 结 远程访 问用户提供服务 ,所 以即使安装了防火墙 ,QLS re 的服 S ev r r S ev r 合 校 园 网 的实 际 特 点 和 安 全 需 求 ,分 析 S S re 数 据库 系 统 的 安 全 薄 务 端 口 13 QL ev r 4 3一 般 来 讲 也是 处 于 开放 状 态 的。而攻 击 S e e 的 QLS r r v 弱 之 处 , 针 对 性 地 制定 了安 全 管 理 体 系 与 策 略。 有 关键 词 : QL S re 安 全 需 求 S ev r
不 少工 具 均 是 通 过 对 1 3 4 3端 口进 行 扫 描 而 达 到 目的 ,因 此 应该 对 S ev r QL S re 的服务端 口进行重新设置 , 改变系统 的默认端 口。 0 引言 222操作 系统的安全体 系构建 在操作系统的层面上 , ._ 主要 防 随着 信 息 技 术 的 飞速 发 展 和应 用 的逐 步 深 入 ,数 据 库 技 术 已经 范 的是 来 自网 络 内使 用 的操 作 系统 的安 全 , 例 来 讲 , 园 网数据 库 举 校 广泛应用于校 园网环境 中。 S ev r 目前被不少 院校普遍采 普 遍 运 行 于 其 上 的 W id ws 2 0 QL S r 是 e n o 0 0以 及 N T等 操作 系 统 , 易 由于 极 用 的 数据 库 系 统 , 储着 大量 的关 键 数据 , 果 这 些数 据 被 未 经 授权 操 作 系统 本 身 的安 全 漏 洞 、 对操 作 系统 不 合 理 的 配置 或 者 病毒 的破 存 如 的人 非法 侵 入 , 取 或者 破 坏 , 会 造 成 不 可 估量 的损 失 。 怎样 构 建 坏而导致数据库遭 受安全隐患。 窃 就 所以 , 应部署安全性能高的网络操作 数据 库 应 用 系 统 的 安 全体 系 , 强 S ev r 据 库 的安 全 性 能 , 系统 , 做 好 安 全 设 置 : 外 , 荐 选 择 N F 加 QL S re 数 并 此 推 T S作 为安 装 S ev r QL S re 保 证其 数 据 的保 密性 、 完整 性 和 可 用性 是一 个 值 得研 究 的重 要 课 题 。 的文件系统。因为 N F T S的稳定性优于 F T 且容 易恢复 ; A , 最后要注 1S ev r 安 全 隐 患分 析 QL S re 的 意 的 是 及 时对 操 作 系统 进 行 漏洞 分析 和 补 丁 安 装 , 以便 于 在最 大 的 校 园 网数 据库 的 安全 , 要指 的是 数据 库 中 的信 息 不被 未 经 授权 主 限度 内保证系统数据库的安全。 的用 户查 看 、 改和 破 坏 。虽 然 S ev r 更 QLS r 数据 库 管理 系统 拥 有 了 e 223 数 据 库 管 理 系 统 安 全 体 系 的 构 建 对 于 S ev r .. QL S re 来 较 为 严 密 的安 全 实 现机 制 , 但是 绝 对 的 安 全 是不 存 在 的 , 系统 中仍 然 讲 , 先, 采用“ 图” 首 应 视 的模 式 对 数据 库 进 行 维 护 。 可 以将 “ 图 ” 视 模 存 在 一 些安 全 漏 洞 , 非 法侵 入 者 提 供 了 入侵 机 会 , 数 据 被 窃 取 或 式理解为一种 有效 的信息隔离保 护机制 ,通过对用户进行授权访 问 为 使 者破坏 , 造成较 为严重的后 果。此外 , 由于数据库 管理者安全意识不 控 制 , 能够 尽 量 减 少 不 必 要 的基 表 操 作和 修 改。 此 外 , 由于 不 同用 户 强 , 些 数据 库用 户 的 一些 错误 操 作也 能 给数 据库 带 来 安全 威胁 。 或某 的权 限范围不 同, 用户在 “ 该 视图 ” 式下无法看到其权 限之外 的数 模 2 S e v r 据库 安 全 体 系 的构 建 QL S re s数 据 内容 , 证 了数 据 的 安全 性 。 保 21 数 据 库 安 全 需 求 校 园 网 中 的 数 据 库 系统 对 安 全 的 具 体 需 . 其 次 , 该 对 用 户进 行 严 格 的 区 分 , 定 相 应 的访 问控 制范 围与 应 设 求可以用完整性、 保密性和 可用性来概括。所谓数据库的完整性 , 指 权 限 , 这也 是 数 据 库 安 全 的一 个 重 要 手段 。S e e 可 以实 现访 QL S r r v 的是 数据 库 中 的信 息 能 够 保 持 物 理 上 和 逻 辑 上 两个 方面 的 完 整 性 ; 问控 制 权 限 与数 据 库 的 独 立 性 ,即某 一 用 户 的 访 问权 限只 针 对 一 个 数 据库 的保 密 性 指 的是 只 有 经 过授 权 的用 户 ,才 能进 入 数 据 库 系 统 特定的数据库 。 结合校 园网的实际维护和应用情况 , 以把其数据库 可 进行与实际权限范围相关的数据查询与数据 存取操作 ,而未被授权 用 户 分 为 三 个 类别 , 别是 一般 数 据 库 用 户 : 能对 一 般 性 的 数据 进 分 只