劉娜

摘 要 隨著計(jì)算機(jī)技術(shù)和數(shù)據(jù)庫技術(shù)的發(fā)展，數(shù)據(jù)庫的運(yùn)行面臨越來越多的安全問題，為了保證數(shù)據(jù)庫安全穩(wěn)定的運(yùn)行，需要我們不斷的去探索，尋找解決的方案。

關(guān)鍵詞 SQL 安全性 權(quán)限 防火墻

中圖分類號(hào)：TP392 文獻(xiàn)標(biāo)識(shí)碼：A

數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，以防止因不合法的使用而造成的數(shù)據(jù)泄露、更改或破壞。數(shù)據(jù)庫管理系統(tǒng)安全性保護(hù)，就是通過種種防范措施以防止用戶越權(quán)使用數(shù)據(jù)庫。安全保護(hù)措施是否有效是衡量數(shù)據(jù)庫系統(tǒng)的主要性能指標(biāo)之一。

本文將從以下幾方面研究探討如何加強(qiáng)數(shù)據(jù)庫的安全性：

1安裝最新的補(bǔ)丁

對(duì)系統(tǒng)來說，一般都是不斷的采用補(bǔ)丁的形式來加強(qiáng)各方面的防范工作，為了確保SQL Server數(shù)據(jù)庫的安全性，最有效的方法就是定期下載安裝最新的補(bǔ)丁。另外，還應(yīng)該安裝所有已發(fā)布的安全更新，訂閱新安全更新的通知。

2設(shè)置Windows身份驗(yàn)證模式

在數(shù)據(jù)庫登錄賬戶認(rèn)證階段有兩種模式，即Windows身份驗(yàn)證模式和混合模式。其中Windows身份驗(yàn)證模式只允許用戶使用Windows身份驗(yàn)證方式登錄服務(wù)器，不能指定SQL Server的登錄賬號(hào)。

通過使用Windows身份驗(yàn)證模式登錄，對(duì)Windows用戶和域用戶賬號(hào)的連接進(jìn)行了限制，就可以限制Windows的用戶以及區(qū)域之外的用戶賬戶對(duì)SQL Server的連接請(qǐng)求，從而保護(hù)了SQL Server免受Internet網(wǎng)絡(luò)的侵害，減小數(shù)據(jù)庫遭受互聯(lián)網(wǎng)中的病毒和木馬程序，還有黑客的攻擊。

3定期備份數(shù)據(jù)庫，保障數(shù)據(jù)庫的恢復(fù)

數(shù)據(jù)恢復(fù)也被稱為數(shù)據(jù)重載或數(shù)據(jù)裝入，數(shù)據(jù)庫恢復(fù)主要采用基于備份的恢復(fù)技術(shù)、基于備份和運(yùn)行日志的恢復(fù)技術(shù)和基于多備份的恢復(fù)技術(shù)。為了保障數(shù)據(jù)庫的最大可恢復(fù)性，最好養(yǎng)成定期備份數(shù)據(jù)庫的習(xí)慣。在備份數(shù)據(jù)庫時(shí)，既要保證備份數(shù)據(jù)的完整性，又要建立一個(gè)詳細(xì)的備份數(shù)據(jù)的檔案，以免因使用了不完整或日期不正確的備份數(shù)據(jù)破壞系統(tǒng)數(shù)據(jù)庫的完整性，從而造成嚴(yán)重后果。

4使用微軟的基線安全性分析器

微軟基線安全分析器（Microsoft Baseline Security Analyzer，簡稱MBSA）是一個(gè)簡單易用的工具，在開發(fā)SQL Server的時(shí)候，開發(fā)者就在微軟的產(chǎn)品中加入了掃描不安全配置工具M(jìn)BSA，這種掃描工具能夠自動(dòng)運(yùn)行，對(duì)微軟中的一切組件進(jìn)行掃描，就是連Microsoft SQL Server Deskstop Engine以及SQL Server都會(huì)被掃描。MBSA可以在本地運(yùn)行，也可以通過網(wǎng)絡(luò)運(yùn)行，可以針對(duì)SQL Server安裝進(jìn)行檢測(cè)，從而評(píng)估服務(wù)器的安全性。

5確保操作系統(tǒng)的安全

操作系統(tǒng)安全是數(shù)據(jù)庫安全的前提，目前使用的操作系統(tǒng)主要有Unix、類Unix操作系統(tǒng)和微軟公司W(wǎng)indows操作系統(tǒng)。操作系統(tǒng)安全主要表現(xiàn)在三個(gè)方面：一是操作系統(tǒng)本身的缺陷帶來的不安全因素；二是操作系統(tǒng)的安全配置；三是病毒對(duì)操作系統(tǒng)的威脅。因此，要盡量采用正版和安全性較高的操作系統(tǒng)并進(jìn)行必要的安全配置。

為了確保操作系統(tǒng)的安全，也要選擇安全的文件系統(tǒng)。與FAT32文件系統(tǒng)相比，NTFS文件系統(tǒng)具備一定的優(yōu)勢(shì)，因此，NTFS是最適合安裝SQL Server的文件系統(tǒng)。我們可以通過設(shè)置NTFS的權(quán)限或通過文件加密的方法提高安全性。

6用戶權(quán)限設(shè)定和控制

安裝數(shù)據(jù)庫時(shí)，系統(tǒng)會(huì)把用戶名和密碼以及標(biāo)識(shí)都記錄下來，用戶每次進(jìn)入數(shù)據(jù)庫時(shí)，系統(tǒng)都會(huì)對(duì)其進(jìn)行審核，只有合法用戶才能夠使用數(shù)據(jù)庫，因此，用戶權(quán)限設(shè)定是系統(tǒng)提供的最外層的安全措施。除此之外，還可以通過代碼的編寫預(yù)先設(shè)定用戶權(quán)限，從而使得不同的用戶對(duì)不同的數(shù)據(jù)庫有不同的操作權(quán)限，確保用戶操作的合法性，保障數(shù)據(jù)庫的安全性。

7安裝和設(shè)置防火墻

隨著網(wǎng)絡(luò)的發(fā)展，絕大多數(shù)的SQL Server都連接在互聯(lián)網(wǎng)中，為數(shù)據(jù)庫的安全性帶來了嚴(yán)重的威脅和隱患，因此網(wǎng)絡(luò)系統(tǒng)安全是數(shù)據(jù)庫安全的第一道屏障。網(wǎng)絡(luò)系統(tǒng)攻擊主要有木馬程序、病毒和網(wǎng)絡(luò)欺騙等，目前采用的防入侵技術(shù)主要有安裝防火墻和SQL Server端口更改兩種。

所謂防火墻是指一個(gè)對(duì)來自Internet的信息流量進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)之前進(jìn)行有效過濾、檢驗(yàn)和鑒定，以防止不良信息進(jìn)入和黑客攻擊的軟件，防火墻是保護(hù)系統(tǒng)免受互聯(lián)網(wǎng)攻擊的最有效方法之一。在默認(rèn)情況下，SQL Server使用TCP端口1433和UDP端口1434，為了保證安全性，數(shù)據(jù)庫管理員應(yīng)配置防火墻過濾掉到達(dá)這兩個(gè)端口的數(shù)據(jù)包。

8數(shù)據(jù)庫默認(rèn)端口的更改

對(duì)于1433和1434端口，即使防火墻對(duì)兩個(gè)端口的數(shù)據(jù)包加以攔截，但是該端口依然存在不安全因素，網(wǎng)絡(luò)攻擊工具會(huì)對(duì)這兩個(gè)端口進(jìn)行掃描，很容易被黑客攻陷，因此更改數(shù)據(jù)庫的默認(rèn)端口是很有必要的，通過在SQL Server實(shí)例屬性中選擇網(wǎng)絡(luò)配置中的TCP/IP協(xié)議的屬性，將TCP/IP使用的默認(rèn)的端口變?yōu)槠渌丝趤黼[藏SQL Server數(shù)據(jù)庫，保護(hù)數(shù)據(jù)庫的安全。

綜上所述，數(shù)據(jù)庫的安全與網(wǎng)絡(luò)環(huán)境、操作系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)的設(shè)置是密切相關(guān)的，只要在一個(gè)環(huán)節(jié)出現(xiàn)問題，都會(huì)讓整個(gè)數(shù)據(jù)庫系統(tǒng)面臨安全威脅。因此，通過對(duì)以上八個(gè)方面的安全管理和控制，來制定行之有效的安全管理策略，從而保證數(shù)據(jù)庫安全穩(wěn)定的運(yùn)行。