sql數據安全

1. 如何保證SQLServer資料庫安全

目前，針對SQL Server資料庫的應用級入侵已經變得越來越肆無忌憚，像SQL注入、跨站點腳本攻擊和未經授權的用戶訪問等。所有這些入侵都有可能繞過前台安全系統並對資料庫系統攻擊。對於資料庫管理來說，保護數據不受內部和外部侵害是一項重要的工作。SQL Server 正日益廣泛的使用於各部門內外，作為資料庫系統管理員，需要深入的理解SQL Server的安全性控制策略，以實現管理安全性的目標。那麼，如何確保SQL Server資料庫的安全性呢，我們可以從以下兩方面考慮。it培訓機構
首先、採取業界已存在的且比較成熟的資料庫審計解決方案來實現
實時記錄用戶對資料庫系統的所有操作(如：插入、刪除、更新、用戶自定義操作等)，並還原SQL操作命令包括源IP地址、目的IP地址、訪問時間、用戶名、資料庫操作類型、資料庫表名、欄位名等，如此，可實現對資料庫安全事件准確全程跟蹤定位。
實時檢查資料庫不安全配置、資料庫潛在弱點、資料庫用戶弱口令、資料庫軟體補丁層次、資料庫潛藏木馬等。
進行全方位的多層(應用層、中間層、資料庫層)的訪問審計，通過多層業務審計，實現數據操作原始訪問者的精確定位。
針對於資料庫的操作行為進行實時檢測，並預設置風險控制策略，結合對資料庫活動的實時監控信息，進行特徵檢測，任何嘗試性的攻擊操作都將被檢測到並進行阻斷或告警;並支持通過郵件、簡訊、SYSLOG、SNMP、屏幕等方式告警。
其次、制定相關的資料庫管理流程
不同的人員對資料庫的操作職責不一樣，所有人員對資料庫的操作均需要事前審批，對一些非常重要的操作需要二級以上審批。申請操作時，需明確在什麼人，什麼時間，因為何事，對哪個資料庫(或表)，進行什麼樣的操作，可能有什麼樣的風險及採取的補救措施等。
資料庫數據的丟失以及資料庫被非法用戶的侵入使得資料庫管理員身心疲憊不堪，資料庫安全性問題對於資料庫管理員來說簡直就是噩夢。對於資料庫數據的安全問題。本文對圍繞資料庫的安全性問題提出了一些安全性策略，希望對資料庫管理員有所幫助。

2. 保護SQL伺服器的安全-安全安裝

由於很多原因 需要作出安全決定的人常常沒有明白數據的真正價值 所以經常無法對數據進行足夠的保護 讓需要你數據的人能夠在需要的時候訪問到它 並確保其有效性 可能是資料庫管理員最重要的職責 但是 保持數據能夠被訪問並不意味著要讓它對所有的人都開放 因此 你需要仔細保護數據的安全 然後只對需要它的人開放 鬧脊 安全措施 普通的維護和資料庫的更改應該讓位於安全措施 這一過程包括如下步驟 ● 為預設的系統管理員（SA）帳號分配一個復雜的密碼 然後創建你唯一命名的帳號來處理管理工作 並給該帳號分配sysadmin角色 要確保新的帳號也具有復雜的密碼 然後你就可以從sysadmin角色里把SA帳號刪掉 ● 為每個用戶設置單獨的密碼 但是更好的方法是使用Windows集成的安全（機制） 並讓Windows來強制執行嚴格的密碼規則 ● 要確定哪些用戶需要查看什麼數據 然後分配適當的許可 不要僅僅為圖省事而給予用戶過多的許可權 例如 你的數據輸入操作員就的確不需要查看其他人的工資 ● 確定哪些用戶需要更改什麼數據 然後再分配適當的許可 帳號管理人員應該可以看到所有的客戶信息 但是你可能希望限制誰才有權更改這些信息 具體的說 掌握特定帳號的帳號管理人員可能是唯一一個被賦予許可權更改客戶數據的人 通過本系列的文章 你會了解到更多關於這些措施的內容 但是你應該從一開始就考慮安全的問題 否則 你資料庫的任何用戶都可能竊取或者刪除你最敏感的數據 可能是什麼出錯？ 眾所周知 SQL伺服器在剛安裝好的的時候並不安全 你必須花一些心思和精力來充分和成功地保證你伺服器的安全 甚至在開始安裝伺服器之前 你就需要考慮兩個非常重要的問題 ● 保護管理員帳號和密碼的安全 ● 保護你的系統不受Slammer蠕液兆滲蟲病毒的侵害 ● 保護剛剛安裝好的伺服器利用SA帳號 SQL伺服器 的確具有預設的安全（措施） 在安裝過程中 SQL伺服器會自動地創建一個管理員用戶 並為其指定SA這個用戶名和一個空白的密碼 有些管理員會把這個SA的密碼留成空白 或者設置為大家都知道的一個常見密碼 這就使得其整個系統能夠被輕易攻破 如果你犯了這個錯誤 那麼任何人都可以登錄進你的資料庫 並做他們想做的事情 具有管理員許可的任何人都可以做他們想做的任何事——不僅僅是資料庫 還有整台計算機 這肯定不是一件好事 你希望限制每個用戶 只讓他們訪問他們需要的東西——不多也不少 在日常的管理工作中不要使用SA帳號 用一個真正安全的密碼來收藏好這個帳號 然後 為管理工作專門創建另外一個帳猜卜號（具體是SQL伺服器帳號還是Windows帳號 這要根據你的驗證模式） 你需要避免很容易就會被猜出來的帳號名 或者控制整台伺服器的帳號的密碼 因為如果有人使用這個帳號成功地登錄進來 那麼游戲就此結束 一次令人警醒的事件——Slammer蠕蟲 年 月 一個感染性極強的惡意代碼 Slammer蠕蟲將攻擊目標瞄準了SQL伺服器的安裝過程 通過利用SQL伺服器代碼里的漏洞 它能夠在安裝SQL伺服器的時候 綁架 計算機 並將自己的多個副本安 *** 其他被攻破的計算機里 利用某些帳號 這個蠕蟲在被釋放出來的 分鍾之內就滲透進了Internet 微軟花了大量的精力來發布補丁 但是Slammer的影響現在還時有發生 有些媒體甚至還宣稱 它破壞了SQL伺服器工作組的工作 結果導致SQL伺服器下一版本的beta版發布被推遲 為什麼在這一事件爆發數月之後你還需要關注這個問題？因為現在在網上每天還有受到感染的機器在向外發送Slammer的副本 如果把沒有打補丁的SQL伺服器連接到Internet上 你就可能成為下一個受害者 這次事件告訴我們 在插上連接到Internet的電纜之前 你需要保護好自己伺服器的安全 並安裝最新的服務包和補丁 服務包的重要性 服務包可以免費下載 所以你不會因為買不起而不去安裝 Slammer蠕蟲不會破壞數據 但是它會導致你服務的嚴重崩潰 其後果和數據被破壞一樣嚴重 保護措施非常簡單 下載服務包 或者服務包 a 這個蠕蟲如何工作的技術細節在這里並不重要 重要的是 Slammer蠕蟲所攻擊的漏洞 已經在 個月之前由微軟發布補丁進行了修補 但是還造成這么大的損失 受到這個蠕蟲攻擊的商業機構兩次受害 一次是由沒有保護好系統的管理員造成的 另一次是由蠕蟲造成的 你也應該要記住 沒有什麼能夠保證SQL伺服器服務包 能夠修補所有的漏洞 你應該定期訪問微軟的安全公告牌頁面 以確保你能夠得知未來服務包和補丁的發布 選擇驗證模式 在安裝SQL伺服器過程中你要首先作出的一個決定是選擇使用哪種安全模式 安全模式有兩種 ● Windows驗證模式（也叫做集成模式） ● 混合模式 在Windows驗證模式下 用戶通過已有的Windows用戶帳號連接到SQL伺服器上 當用戶使用合法的用戶名和密碼連接到伺服器的時候 SQL伺服器會驗證用戶的Windows登錄信息 這樣 用戶只需要一次就能夠同時登錄進Windows和SQL伺服器 帳號信息由Windows嚴格保存 混合模式是Windows驗證和SQL伺服器驗證的結合 在混合驗證模式下 有的用戶可以只需要一次注冊 就可以繼續使用Windows的帳號來訪問SQL伺服器 而其他的人可以使用SQL伺服器的用戶帳號 這一帳號是同Windows帳號完全分離的 每個SQL伺服器的帳號都會保存自己的用戶名和密碼 即使這兩個登錄的值完全相同 用戶也必須登錄兩次——一次用於進入Windows 另一次用於進入SQL伺服器 Windows驗證模式要優於混合模式 其原因如下 ● 它提供了比SQL伺服器驗證更多的特性 ● 大多數管理員都認為Windows驗證是兩種模式中更容易實現和使用的 ● 在Windows驗證模式下 沒有必要在連接字元串里保存密碼——又少了一樣要保護的東西 ● Windows驗證意味著你只需要在一個地方管理密碼 而不是兩個地方 不幸的是 不是所有的人都可以使用Windows驗證 SQL伺服器 （或者更早的版本）要求使用混合模式 Windows驗證只能在SQL伺服器 上使用 在某些情況下（例如 當你正在使用域以外的Web伺服器 從域以內的SQL伺服器上獲取數據的時候） Windows驗證無法工作 因為信任書無法通過域的邊界 在這些情況下 你必須使用混合模式和SQL伺服器登錄 其他關於安裝的提示 在安裝SQL伺服器的時候 有一些東西需要你考慮 ● 要將TCP/IP用作SQL伺服器的網路庫 這是微軟所推薦的庫 所順理成章地成為經過測試的最佳庫 如果伺服器會被放在公眾的Internet上 那麼就要使用一個非標準的埠 這就可以讓壞小子們更難找到它 ● 要使用一個低許可權的帳號來運行SQL伺服器 而不是用管理員帳號 這會在安全系統被攻破的時候限制其造成的損失 ● 不要允許未受安全保護的來賓帳號訪問任何包含有保護數據的資料庫 ● 將伺服器從物理上鎖在伺服器房間或者櫃子里 以保證其安全 要記住 大多數入侵都來自內部 結論 讓安全從一開始就成為你工作重點的頭一個 無論是保護你的數據不因為能力不足而遭受損失 還是要防止有意破壞而受到的損失 你都要花時間學習安全模式 然後小心地應用它 只需要一次安全惡夢 你就會成為安全的相信者 所以正視安全 睡個好覺 lishixin/Article/program/SQLServer/201311/22162

3. SQL資料庫安全設置

首先就是打好SQL的補丁(Service
Pack),這樣基本上就沒問題了.
再有就是網站或者程序調用的時候,最好是不要用SA用戶,而用一個非管理員級別的用戶來讀寫資料庫.
最後就是程序的防錯處理了,以及在調用資料庫的時候,盡量注意防溢出處理.
基本上就是這些.