1.SQLServer数据库存在的安全缺陷主要来自两个方面:
一方面是系统本身的安全漏洞缺陷或者不正确的配置造成的安全隐患;
另一方面是由于数据库的管理人员和用户的安全意识淡薄,从而给数据库的安全带来隐患。
2.SQL 的安全机制可以从下面三个级别进行划分:
一是SQL Server的登陆安全,
二是数据库访问安全,
三是数据库对象使用安全 。
3.提高SQL Server数据库安全性的策略 :
(1)系统和软件的安全策略:括使用安全的文件系统、确保系统安装安全以及处理好系统补丁三个方面。
(2)授权和认证安全策略:SQLServer数据库使用角色到用户这样的授权体系(即先是明确用户角色,然后将用户配置到数据库的橘色中,最后是给角色分配相应的权限。),一是必须设置好的安全的密码,并定期修改。二是保护好账号的安全,防止多人有管理员的权限,在登陆时尽量使用NT验证登陆方式。三是使用协议加密,最好是使用SSL加密协议(要在SQL Server 2000上采用SSL加密协议的话,可以在服务器计算机上找到“Microsoft SOL Server” 中的“服务器网络实用工具”,点击“强制协议加密”,再逐步完成后面的配置即可)。
4.保障SQL Server数据库安全的管理策略 :
(1)管理好数据库的日志 ;
(2)管理好存储过程(太多的存储过程容易被人用来提升权限和进行测试,特别是sp_cmdshell存储过程很容易进入操作系统,对操作系统而言是个隐患,因此很有必要删除) ;
(3)TCP/IP的端口设置及限制IP策略(因为1433端口是SQL Server默认的监听端口,因此需要在实例属性中配置TCP/IP的属性,把默认端口改成其他端口。由于1434端口不受限制,也要在TCP/IP属性中将其设置为隐藏。);
(4)数据备份策略;
(5)做好数据库管理人员的职能培训和完善机房安全管理制 度策略;
(6)通过各种途径建立数据的安全性策略(通过建立数据视图的方法则可以有效保护数据的安全,。对数据库管理的角色可分为创建人、安全管理人、系统管理人和服务器管理人等,不同的角色对保障数据库中数据的安全都有重要的作用,因此需要特别慎重地考虑用户与角色的配置,预防配置不当给数据安全造成隐患。同理,管理人在对数据库角色的配置上也要小心和慎重。 )。
摘自论文《对SQL Server数据库的安全和管理策略探讨》