基于SQLServer数据库安全实用探究

1、基于sql server数据库安全实用探究摘要：随着信息社会的飞速发展，数据库已经在社 会上和人们生活中占据了十分重要的地位，同时对数据库安 全有了更高的要求。数据库安全就是指保护数据库以防止非 法使用所造成的信息泄露、更改或破坏，本文首先对数据库 安全的威胁因素作了介绍，然后基于sql server对数据库 的安全策略和配置进行了探讨。关键词：数据库安全；sql server；安全配置中图分类号：tp311. 13文献标识码：a文章编号： 1674-7712(2013)14-0000-01近年，黑客盗取数据库的手段和技术在不断提升。虽然 数据库自身的防护能力也在提升，但相比黑客的手段来说，

2、单纯的数据库防护还是力不从心。数据库安全配置已经不是 一种新兴的技术手段，但是却在数据库安全事件频发的今天 给我们以新的启示。数据库安全涉及黑客病毒、软件漏洞以 及安全意识缺乏等多方面。这就要求我们要加强数据库安全 意识并掌握一定的安全防范技术。一、数据库安全的威胁因素数据库安全就是指保护数据库以防止非法使用所造成 的信息泄露、更改或破坏，目前，数据库受到的威胁大致有 这么几种：（一）内部人员错误数据库安全的一个潜在风险就是内部人员错误。最常见 表现包括：由于内部人员操作不慎而造成数据意外删除或泄 漏。虽然这并不是一种恶意行为，但很明显，这种行为会造 成某种意想不到的数据风险。（二）社交工程由

3、于攻击者使用的钓鱼技术比较高级，在合法用户不知 不觉地将安全机密提供给攻击者时，就会发生很多严重攻 击。在此情况下，用户可能会通过一个受到损害的网站等方 式将信息提供给貌似合法的请求，从而不断被钓鱼攻击。（三）内部人员攻击很多数据库攻击源自单位内部。薪资水平以及人际矛盾 都有可能引起雇员的不满，从而导致内部人员攻击的增加。 这些内部人员受到贪欲或报复欲的驱使，且不受防火墙及入 侵防御系统等的影响，容易给企业带来风险。（四）错误配置黑客可以使用数据库的错误配置控制“肉机”访问点， 从而通过错误配置绕过认证方法并访问敏感信息。这种配置 缺陷容易成为攻击者借助特权发动某些攻击的主要手段。如 果没有重

4、新正确配置数据库，非特权用户就有可能访问未加 密的文件。（五）未打补丁的漏洞如今攻击已经从公开的漏洞利用发展到更精细的方法， 并不断挑战传统的入侵检测机制。漏洞利用的脚本在数据库 补丁发布的几小时内就可以被发到网上。马上就可以通过漏 洞利用代码，再加上好多单位的补丁周期比较长，实质上几 乎把数据库的大门完全打开了。二、sql server的安全配置数据库的安全配置在进行安全配置之前，首先必须对操 作系统进行安全配置，保证操作系统处于安全状态。然后再 对sql server的进行必要的安全审核和安全配置。（一）使用安全的密码策略密码策略是所有安全配置的第一步，很多数据库账号的 密码太过简单，这跟

5、系统密码太过简单是一个道理。对于sa 更应注意，同时不要让sa账号的密码写于应用程序或者脚 本中。建议密码含有多种数字字母组合并10位以上，同时 养成定期修改密码的好习惯，数据库管理员应该定期查看是 否有不符合密码要求的账号。（二）使用安全的账号策略由于sql server不能更改sa用户名称，也不能删除这 个超级用户，所以除了使用一个非常强壮的密码，最好不要 在数据库应用中使用sa账号，只有当没有其他办法时才使 用sa。建议数据库管理员新建立一个拥有与sa 样权限的 超级用户来管理数据库。很多主机使用数据库应用只是用来 做查询、修改等简单功能的，请根据实际需要分配账号，并 赋予仅仅能够满足应

6、用要求和需要的权限。安全的账号策略 还包括不要让有管理员权限的账号泛滥。（三）加强数据库日志的记录审核数据库登录事件的“失败和成功”，在实例属性中 选择''安全性”，将其中的审核级别选定为全部，这样在数 据库系统和操作系统日志里面，就详细记录了所有账号的登 录事件。请定期查看sql server日志检查是否有可疑的登 录事件发生，或者使用dos命令。（四）管理扩展存储过程对存储过程进行大手术，并且对账号调用扩展存储过程 的权限要慎重。其实在多数应用中根本用不到多少系统的存 储过程，而sql server的这么多系统存储过程只是用来适 应广大用户需求的，所以请删除不必要的存储过程

7、，因为有 些系统的存储过程能很容易地被人利用起来提升权限或进 行破坏。（五）使用协议加密sql server 2000 使用的 tabular data stream 协议来 进行网络数据交换，如果不加密的话，所有的网络传输都是 明文的，包括密码、数据库内容等，这是一个很大的安全威 胁。能被人在网络中截获到他们需要的东西，包括数据库账 号和密码。所以，在条件容许情况下，最好使用ssl来加密 协议，当然，您需要一个证书来支持。（六）修改tcp/ip使用的端口更改原默认的1433端口。在实例属性中选择网络配置 中的tcp/ip协议的属性，将tcp/ip使用的默认端口变为其 他端口。在实例属性中选择tcp/ip协议的属性，选择隐藏 sql server实例。如果隐藏了 sql server实例，则将禁止 对试图枚举网络上现有的sql server实例的客户端所发出 的广播作出响应。这样，别人就不能用1434来探测您的 tcp/ip 端口了（除非用 port scan）o三、结束语随着计算机网络技术的发展，数据库应用技术已经深入 到社会生活中的方方面面，数据库安全问题将是一个永远都 不会停止的话题，更加突出了数据库安全的重要性。如何做 好数据库安全防范，也是一个很艰巨的工作。所以，我们必 须结合实际情况，具体分析数据库安全薄弱环节，并制定切 实可行的安全对策，