欢迎来到天天文库
浏览记录
ID:31777275
大小:56.54 KB
页数:6页
时间:2019-01-18
《基于sqlserver数据库安全实用探究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、基于SQLServer数据库安全实用探究摘要:随着信息社会的飞速发展,数据库已经在社会上和人们生活中占据了十分重要的地位,同时对数据库安全有了更高的要求。数据库安全就是指保护数据库以防止非法使用所造成的信息泄露、更改或破坏,本文首先对数据库安全的威胁因素作了介绍,然后基于SQLServer对数据库的安全策略和配置进行了探讨。关键词:数据库安全;SQLServer;安全配置中图分类号:TP311.13文献标识码:A文章编号:1674-7712(2013)14-0000-01近年,黑客盗取数据库的手段和技术在不断提升。虽然数据库自身的防护能力也在提升,但相比黑客的手段来说,单纯的数据库防护还是力
2、不从心。数据库安全配置已经不是一种新兴的技术手段,但是却在数据库安全事件频发的今天给我们以新的启示。数据库安全涉及黑客病毒、软件漏洞以及安全意识缺乏等多方面。这就要求我们要加强数据库安全意识并掌握一定的安全防范技术。一、数据库安全的威胁因素数据库安全就是指保护数据库以防止非法使用所造成的信息泄露、更改或破坏,目前,数据库受到的威胁大致有这么几种:(一)内部人员错误数据库安全的一个潜在风险就是内部人员错误。最常见表现包括:由于内部人员操作不慎而造成数据意外删除或泄漏。虽然这并不是一种恶意行为,但很明显,这种行为会造成某种意想不到的数据风险。(二)社交工程由于攻击者使用的钓鱼技术比较高级,在合法
3、用户不知不觉地将安全机密提供给攻击者时,就会发生很多严重攻击。在此情况下,用户可能会通过一个受到损害的网站等方式将信息提供给貌似合法的请求,从而不断被钓鱼攻击。(三)内部人员攻击很多数据库攻击源自单位内部。薪资水平以及人际矛盾都有可能引起雇员的不满,从而导致内部人员攻击的增加。这些内部人员受到贪欲或报复欲的驱使,且不受防火墙及入侵防御系统等的影响,容易给企业带来风险。(四)错误配置黑客可以使用数据库的错误配置控制“肉机”访问点,从而通过错误配置绕过认证方法并访问敏感信息。这种配置缺陷容易成为攻击者借助特权发动某些攻击的主要手段。如果没有重新正确配置数据库,非特权用户就有可能访问未加密的文件。
4、(五)未打补丁的漏洞如今攻击已经从公开的漏洞利用发展到更精细的方法,并不断挑战传统的入侵检测机制。漏洞利用的脚本在数据库补丁发布的几小时内就可以被发到网上。马上就可以通过漏洞利用代码,再加上好多单位的补丁周期比较长,实质上几乎把数据库的大门完全打开了。二、SQLServer的安全配置数据库的安全配置在进行安全配置之前,首先必须对操作系统进行安全配置,保证操作系统处于安全状态。然后再对SQLServer的进行必要的安全审核和安全配置。(一)使用安全的密码策略密码策略是所有安全配置的第一步,很多数据库账号的密码太过简单,这跟系统密码太过简单是一个道理。对于sa更应注意,同时不要让sa账号的密码写
5、于应用程序或者脚本中。建议密码含有多种数字字母组合并10位以上,同时养成定期修改密码的好习惯,数据库管理员应该定期查看是否有不符合密码要求的账号。(二)使用安全的账号策略由于SQLServer不能更改sa用户名称,也不能删除这个超级用户,所以除了使用一个非常强壮的密码,最好不要在数据库应用中使用sa账号,只有当没有其他办法时才使用sa。建议数据库管理员新建立一个拥有与sa—样权限的超级用户来管理数据库。很多主机使用数据库应用只是用来做查询、修改等简单功能的,请根据实际需要分配账号,并赋予仅仅能够满足应用要求和需要的权限。安全的账号策略还包括不要让有管理员权限的账号泛滥。(三)加强数据库日志的
6、记录审核数据库登录事件的“失败和成功”,在实例属性中选择''安全性”,将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有账号的登录事件。请定期查看SQLServer日志检查是否有可疑的登录事件发生,或者使用DOS命令。(四)管理扩展存储过程对存储过程进行大手术,并且对账号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程,而SQLServer的这么多系统存储过程只是用来适应广大用户需求的,所以请删除不必要的存储过程,因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。(五)使用协议加密SQLServer2000使用的Tabul
7、arDataStream协议来进行网络数据交换,如果不加密的话,所有的网络传输都是明文的,包括密码、数据库内容等,这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西,包括数据库账号和密码。所以,在条件容许情况下,最好使用SSL来加密协议,当然,您需要一个证书来支持。(六)修改TCP/IP使用的端口更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认端口
此文档下载收益归作者所有