解析如何提高SQL Server 2005的安全性

摘要：数据库往往包含了企业重要的信息，一旦被黑客入侵遭到破坏将带来不可弥补的损失。因此，如何提高数据库的安全性一直是广大数据库维护人员关注的焦点。基于此，文章结合SQL Server 2005 数据库对其安全防护方法进行了探析，仅供参考。

关键词：SQL Server；安全

中图分类号：TP392 文献标识码：A文章编号：1007-9599 (2011) 07-0000-01

How to Improve the Security of SQL Server 2005

Liu Songai

(Heilongjiang Institute of Technology,Harbin150025,China)

Abstract:The databases often contain important information of the enterprise,once the hacking will lead to the destruction of irreparable loss.Therefore,how to improve the security of the database is a large database has been the focus of maintenance personnel.Based on this,the article SQL Server 2005 database with its methods of security for reference purposes only.

Keywords:SQL Server;Security

一、引言

SQL Server 2005 是Microsoft 公司推出的SQL Server 数据库管理系统的一个版本，该版本继承了SQL Server 7.0版本的优点同时又比它增加了许多更先进的功能，具有使用方便，可伸缩性好与相关软件集成程度高等优点，并在各大企业中得到了广泛的应用。然而，尽管SQL Server数据库在安全性能上已经有了很大的进步与发展，黑客技术也是随之不断更新的。因此，提高数据库安全防护意识，深入了解SQL Server数据库的功能与特性，采取切实有效的保护方法对于保护数据库信息有着重要意义。

二、SQL Server 2005的安装

安装 SQL Server 前的工作设置服务器环境时，要遵循以下最佳做法：增强物理安全性、使用防火墙、隔离服务、创建具有最低特权的服务账户。

（一）增强物理安全性

物理和逻辑隔离是构成 SQL Server 安全的基础。若要增强SQL Server安装的物理安全性，就需要执行以下任务，即：1.将服务器置于专门的房间，未经授权的人员不得入内；2.将数据库的宿主计算机置于受物理保护的场所，最好是上锁的机房，房中配备水灾检测和火灾检测监视系统或灭火系统；3.将数据库安装在公司Intranet的安全区域中，任何时候都不要直接连接到Internet；4.定期备份所有数据，并将副本存储在远离工作现场的安全位置。

（二）使用防火墙

防火墙是保护SQL Server安装所不可或缺的。若要使防火墙发挥最佳效用，则需要遵循一定的要求，即：1.在服务器和Internet之间放置防火墙；2.将网络分成若干安全区域，区域之间用防火墙分隔。先阻塞所有通信流量，然后有选择地只接受所需的通信；3.在多层环境中，使用多个防火墙创建屏蔽子网；4.如果在Windows域内部安装服务器，请将内部防火墙配置为允许Windows身份验证。

（三）隔离服务

隔离服务可以降低风险，防止已受到危害的服务被用于危及其他服务。首先，尽可能不要在域控制器中安装SQL Server；其次，在不同的Windows账户下运行各自的SQL Server服务，而对于多层环境中，需要在不同的计算机上运行Web逻辑和业务逻辑。

（四）创建具有最低特权的服务账户

SQL Server 安装程序可以自动配置服务账户或具有SQL Server所需特定权限的账户。修改或配置SQL Server 2005使用的Windows服务时，应仅授予它们需要的权限。

三、服务账户选择与管理

SQL Server 2005是作为一种Windows服务来运行的。可以为每个服务配置自己的服务账户，这些设置在安装时是公开的。在选择服务账号时，应考虑最小特权原则（Microsoft建议，对于SQL Server服务或SQL Server服务，不要使用Network Service账户。本地用户账户或域用户账户更适用于这些SQL Server服务）。它只具有必须做的权限之外,不应再有更多的权限。考虑到账号隔离，服务账号不仅应该彼此不同，并且不应该被同一台服务器上的其他服务使用。如果服务账户需要额外的权限，权限应该被赋予相应的Windows组，而不是直接赋予该服务的用户账户。这与访问控制列表的方式一致，最好由Windows统一管理。例如，使用SQL Server即时文件初始化特征的能力需要执行卷维护任务的用户权限，这被设置在组策略管理工具。

四、验证模式

SQL Server有两种身份验证模式：Windows身份验证和混合模式身份验证。Windows身份验证是默认身份验证模式，并且比SQL Server身份验证更为安全。通过Windows身份验证完成的连接有时也称为可信连接，这是因为SQL Server信任由Windows提供的凭据。混合模式身份验证，允许Windows账户和SQL Server特定账户（称为SQL登录）登陆。当使用SQL登录，SQL登录密码通过网络来进行身份验证，这就使得SQL登录没有Windows登录安全。最好的做法是尽可能使用Windows登录。使用SQL Server的Windows登录实现单点登录，并简化登录管理。

五、补丁

确保服务器软件和SQL Server 2005安全的最好的方法，是尽快安装安全补丁程序和服务补丁。通过Windows Update或Microsoft Update，使用操作系统的手动更新，以及使用Windows Update或Microsoft Update来启用自动更新，但需测试后，才能应用到生产系统。SQL Server 2005把补丁和服务包集成到Windows Update。立即安装所有补丁，服务包被测试后，应尽快安装。

六、结语

安全是任何主要应用程序的重要组成部分。在某种程度上，执行SQL Server 2005安全不容易出错，安全体系要相对容易实现，“正确的”安全配置应该是默认配置。数据库维护人员只要在深入了解其原理的基础上按照一定的步骤层层设防，就能够更好提高数据库的安全性能。

参考文献：

[1]张丽勇.基于SQL Server的后台数据库安全性策略与应用[J].科技与生活,2010

[2]李钰.关于SQL Server数据库安全性的研究[M].商情,2010

[3]陈倬.浅谈如何提高SQL Server的安全性[J].科技信息,2010