SQLServer数据库安全策略

ＳＱＬＳｅｒｖｅｒ
高振清
（健雄职业技术学院，江苏［摘
要］文中论述了ＳＱＬＳｅｒｖｅｒ数据库安全机制。

［关键词］ＳＱＬＳｅｒｖｅｒ；数据库；安全策略——————————————————————————
—作者简介：高振清，男，江苏太仓人，学士，讲师，研究方向：计算机与自动化。

1．前言
微软的SQL Server 数据库是一种广泛使用的数据库，很多电子商务网站、企业内部信息化平台等都是基于SQL Server 数据库上的，
但是数据库的安全性还没有被人们跟系统的安全性等同起来，一般认为只要把网络和操作系统的安全搞好了，那么所有的应用程序也就安全了。

而且一些安全公司也忽略数据库安全，这就使数据库的安全问题更加严峻。

数据库系统中存在的安全漏洞和不当的配置通常会造成严重的后果，而且难以发现。

数据库应用程序通常同操作系统的最高管理员密切相关。

SQL Server 数据库又是属于“端口”型的数据库，这就表示任何人都能够用分析工具试图连接到数据库上，从而绕过操作系统的安全机制，进而闯入系统、
破坏和窃取数据资料，甚至破坏整个系统。

从而对SQL Server 数据库的安全策略进行探讨有着极其重要的现实意义。

2．ＳＱＬＳｅｒｖｅｒ数据库安全体系结构
SQL Server 数据库安全性管理是建立在认证(authentication)和访问许可(permission)两者机制上。

认证是指来确定登陆SQL Server 数据库的用户的登陆帐号和密码是否正确，以此来验证其是否具有连接SQL Server 数据库的权限。

但是，通过认证阶段并不代表能够访问SQL Server 数据库中的数据，用户只有在获取访问数据库的权限之后，才能够对服务器上的数据库进行权限许可下的各种操作(主要是针对数据库对象，如表、视图、存储过程等)，这种用户访问数据库权限的设置是通过用户帐号来实现的。

同时在SQL Server 数据库中，角色作为用户组的代替物大大地简化了安全性管理。

在SQL Server 数据库的安全模型中主要包括SQL Server 登录、数据库用户、权限、角色。

由图1可见，SQL Server 的安全控制策略是一个层次结构系统的集合。

图１ＳＱＬＳｅｒｖｅｒ安全性控制策略示意图3．3．1
SQL 注入就是利用插入有害字符进行攻击的技术，也称SQL 注射式攻击。

SQL 注入攻击是攻击者把SQL 语句插入到Web 表单的输入域或页面请求查询字符串中，欺骗服务器执行恶意SQL 语句的操作，它是应用程序级攻击Web 主要途径，是黑客攻击的最常见手段，是构建网络安全的一大障碍。

目前来说，对于SQL 注入攻击的防范主要是要找到一种能保证代码兼容性的方法。

SQL Server 虽然没有直接提供防止SQL 注入攻击的对象和方法，
但它却提供了丰富的、强大的防御工具。

合理地利用这些机制，对防止SQL 注入攻击很重要。

其次，构建安全的参数类型，进一步过滤掉组装的SQL 语句对Web 站点的注入攻击。

把用户验证的SQL 语句构造到存储过程中是行之有效的方法。

如下面的Proc_IsUserValid 存储过程：
Create Procedure Proc IsUserValid @UserName Varchar(32)，@Password Varchar(32)As
Select Count(*)from Users
Where UserName=@U serN ame
And Cast (Password As Varbinary)=Cast (@Password
As Varbinary)
Go
然后就是使用弱权账户来间接访问数据库。

下面是实现授权给SafeUser 帐户一个缺乏
“drop table ”权限的数据库脚本，SafeUser 账户除了调用Proc_IsUserValid 外没有任何其它权限。

Create DataBase WebLogin Go
Use WebLogin Go
Create table Users (UserName Varehar (32)Not Null ，
Password Varchar(32)Not Null)Go
Insert Into Users (UserName ，Password)
—79—
N．错信息暴露
对防止SQL注入攻击是非常必要的。

3．2采用标准协议，并利用防火墙限制外部ＩＰ地址直接访问
在网络上访问数据库采用TCP/IP网络库，它是微软推荐使用的库，已经受长期的实践考验，而且可以跨交换机和跨操作系统平台使用。

如果服务器与网络连接，使用非标准端口可能会受到攻击，而且不一定能实现跨平台或跨交换机访问，同时要及时更新操作系统和SQL Server数据库。

由于Windows和SQL Server的广泛使用，因此微软的产品经常受到别人的攻击。

稳妥的办法就是经常到微软网站下载补丁，对Windows操作系统和SQL Server数据库升级，及时补住Windows和SQL Server自身存在的技术漏洞，防止遭到他人的攻击。

另外要安装防火墙，限制外部IP对数据库服务器的直接访问，数据库服务器连接互联网潜在的危险就是可能受到外部的攻击，限制外部IP直接访问数据库服务器将有效保证数据库安全。

一般允许局域网IP、相关单位IP以及软件供应商的指定IP，可以访问数据库，其它IP不允许直接访问数据库服务器。

3．3SQL Server数据库的备份
隔离服务器，定期备份。

物理和逻辑上的隔离组成了SQL Server数据库安全性的基础。

驻留数据库的机器应该处于一个从物理形式上受到保护的地方。

数据库应该安装在企业内部网的安全区域中，不要直接连接到网络。

定期备份所有数据，同时注意这并不意味着数据库备份就安全，如出现硬盘的损坏有可能造成数据的丢失，因此一般应将数据库备份同时保存到备份机上。

将服务器上的备份数据复制到备份机上是一种办法，但明显这种效率较低，需要备份人员每天坚持去做。

通过建立SQL Server数据库备份用户和共享文件夹，也可以直接将数据库备份到客户端。

做好数据库异地备份。

数据库异地备份的建立方法是：
先在数据库服务器上建立备份数据库用户(如BKUSER)，然后在SQL Server企业管理器中Security Login 中添加用户BKUSER。

在新建登录的General导卡中，name 输入BKUSER，Domain选择服务器所在域，Database选择默认的master：在Server Roles导卡中，选择System administrators；在Database Access导卡中，选中master，然后点“确定”即完成用户建立。

4．结束语
信息安全是当今关系国家政治、经济、文化、军事等各个方面的重要课题。

而数据库安全作为其研究领域之一，也越来越引起业内的高度重视。

本文探讨了SQL Server数据库的安全策略，研究了关于数据库安全性的问题，随着社会的进步和科技水平的发展，相信SQL Server数据库安全性将会更加完善。

但不可否认SQL Server数据库安全性有其不足之处。

本文阐述了SQL Server数据库安全体系结构，介绍了Server数据库注入的防护，安装防火墙和关于SQL Server 数据库安全策略的SQL Server数据库备份问题。

随着科学技术的发展，有理由相信在不久的将来，SQL Server数据库安全策略将更加完善。

参考文献：
[1]侯义军．ＭｉｃｒｏｓｏｆｔＳＱＬｓｅｒｖｅｒ安全性的研究[J]．南京邮电学院学报，２０００，（９）．
[2]李海泉，李健．计算机网络安全与加密技术[M]．北京：科学出版社，２００１．
[3]刘启原，刘怡．数据库与信息系统的安全[M]．北京：科学出版社，２０００．
[4]劳帼龄．电子商务安全与管理[M]．北京：高等教育出版社，２００３．
[5]刘瑜，陈铁英．ＭｉｃｒｏｓｏｆｔＳＱＬＳｅｒｖｅｒ数据库的安全策略及实现方法[J]．计算机工程与设计，２００３，２４（１）：６８－７１．
Security Policy of Database System Based on SQL Server
ＧａｏＺｈｅｎｑｉｎｇ
(Chien-Shiung Institute of Technology，Taicang215411，Jiangsu)
【Abstract】The article discusses the SQL Server database security，and presents how to protect SQL Server database effectively．【Keywords】SQL Server；database；security policy
—80—。