谈SQL Server的缺陷和安全策略

中国󰀀包头取大学报2007年第2期谈SQLServer的缺陷和安全策略王勤宏(苏州市职业大学，江苏苏州215004摘要:文中论述了MSSQLServer。数据库安全机制及其主要安全缺陷。详细讲述如何有效保护:SQLServer数据库。关健词:SQLServer;MBS^;安全机制中图分类号:TP3ll.13一、引言文献标识码:C文章编号:1671一1440(2()7)02一0078一X一02icrMosoft公司的sQLserver因为其价格便宜、功能强大、容易操作等特点已经被中国中小企业广泛应用，但是很多小站点在相同的机器上面运行wEB服务器和SQLSetrver(服务)，目的为了降低成本，但是这种配置使得一个黑客能够更加容易破坏你的数据库。一个替代的，更加QLsServer安全是一个常常被人们忽视的问题。甚至有人认为sQLserve:不像其他服务器一样容易受到攻击。在进行安全审核的时代，我们可以明确地告诉您，SQLServer已经成为并将可能继续成为最容易成功的攻破目标之一。安全的配置是将WEB服务器和SQL服务器安置在不同机器上，并且用IPsec协议一因特网安全协议连接它们。MicrsootSQL服务器还存在多个严重的安全缺陷，f允许远程攻击者取得数据库的敏感信息、更改数据库内容、破二、为什么sQLsere;会容易受到攻击v坏sQL服务器。虽然Microsoft过去曾发布secudtyBulletin以解决各个问题，但我们仍须更加注意这些缺陷聚集的严重性。自2001年12月以来，icrMosoft一共发布了八个SecuitryBullatin，至少有十多个关于sOLSeve:的安全缺陷。r这些安全缺陷正是人侵者危害你的SQLServer途径。三、怎样才能有效保护SQLserver1.安装最新的服务包为了提高服务器安全性，最有效的一个方法就是升级到SOL蕊钾er20OOServicePack3a(SP3a)。另外，您还应该安装所有己发布的安全更新。icrMosofi为sQL服务器建立两个安全机制，一个是通过操作系统驱动用户权限，而另外一个是通过一种内部的方法来驱动。如果你已经配置好了一台SQL服务器来对用户的操作系统权限证明做出反应，则为这个用户访问wINIDOWS网络而建立的注册号和密码被直接传送到SQL服务器。这个本地使用的wINDOwS鉴定机制与sQL服务器能利用的内部的鉴定方法不同而且完全分开。因此没有网络权限的用户可能被指定作为有全部权限的SQL服务器管理者。默认情况下，sQL服务器证实认定用户，a(系统管理员)。依靠内部鉴定，SQL服务器可以拥有一个自己的特定的系统管理员帐号和口令，并且独立于wIND0wS安全机制。所以这两种保证机器安全的方法都很容易受到攻击。2.使用Microsoft基线安全性分析器(MBSA)来评估服务器的安全性MBsA是一个扫描多种Microsoft产品的不安全配置的还有许多SQLServer被轻而易举攻破是因为管理员对sQL服务器配置不当造成的。我们知道一个应用程序可以通过一些数据存取组件访问SQI服务器，这些组件往往在它连接机制内做好安全预防工作。例如，mic。阳n公司的动态数据对象(ActiveDataobjects)在connectionst五ng内传递1具，包括SQLServer和MicrosoftsQLserverZo00DesktopngEine(MsDE200)。它可以在本地运行，也可以通过网络运行。Micrsoot提供NBSA的免费下载。f3.使用windows身份验证模式在任何可能的时候，您都应该对指向sQLServer的连接要求Window。身份验证模式。它通过限制对Microsoft用户ID和密码，如果sQL服务器已经在配置好具体的用户、角色和权限的情况下建立。但是，一个管理员没有改变机器的省缺设置，那些机器将变得非常脆弱。早些时候，病inwdows。用户和域用户帐户的连接，保护SQLServer免受大部分Intemet的工具的侵害，而且，您的服务器也将从毒spida(又名SQ‘nake或者Digispid)出现。它损害了许多用默认用户名“a”和一个空白的密码安装的sQL服务器。s再一次使用有完全管理权限的用户名“a”和一个空白密码s是不可原谅的，等于是自找麻烦。Windows安全增强机制中获益，例如更强的身份验证协议以及强制的密码复杂性和过期时间。另外，凭证委派(在多台服务器间桥接凭证的能力)也只能在windows身份验证模式中使用。在客户端，Windows身份验证模式不再需要存收稿日期:2006一12一。5作者简介:王勤宏(1978一)，男，江苏淮安人，苏州市职业大学教师，研究向:软件与78库开发储密码。存储密码是使用标准SQLserver登录的应用程序的主要漏洞之一。文件系统更稳定且更容易恢复。而且它还包括一些安全选项，例如文件和目录ACL以及文件加密(EFS)。在安装过程中，如果侦测到NTFS、SOLServer将在注册表键和文件上设4.隔离您的服务器，并定期备份物理和逻辑上的隔离组成了sQLstor安全性汤基re础。驻留数据库的机器应该处于一个从物理形式上受到保护的地方，最好是一个上锁的机房，配备有洪水检测以及火灾检测/消防系统。数据库应该安装在企业内部网的安全区域中，不要直接连接到Intemet。定期备份所有数据，并将副本保存在安全的站点外地点。5.分配一个强健的sa密码a帐户应该总拥有一个强健的密码，即使在配置为要s求Windows身份验证的服务器上也该如此。这将保证在以后服务器被重新配置为混合模式身份验证时，不会出现空白或脆弱的sa。置合适的入CLo不应该去更改这些权限。通过EFS，数据库文件将在运行SQLServer的帐户身份下进行加密。只有这个帐户才能解密这些文件。如果您需要更改运行SQLServer的帐户，那么您必须首先在旧帐户下解密这些文件，然后在新帐户下重新进行加密。9.删除或保护旧的安装文件SQLSerer安装文件可能包含由纯文本或简单加密的v凭证和其他在安装过程中记录的敏感配置信息。这些日志文件的保存位置取决于所安装的SQLserver版本。0.审核指向SQLS1erver的连接sLSQerve:可以记录事件信息，用于系统管理员的审查。至少您应该记录失败的sQLServer连接尝试，并定期地查看这个日志。在可能的情况下，不要将这些日志和数据文件保存在同一个硬盘上。6.限制sQLserve:服务的权限SQLServer20)0和SQLSer(verAgent是作为Windows服务运行的。每个服务必须与一个Windows帐户相关联，并从这个帐户中衍生出安全性上下文。sQLServer允许，a登录的用户(有时也包括其他用户)来访问操作系统特性。这些操作系统调用是由拥有服务器进程的帐户的安全性上下文来创建的。如果服务器被攻破了，那么这些操作系统调用可能被利用来向其他资源进行攻击，只要所拥有的过程以上具体怎样配置操作，请你参照Microsoft网站。四、结束语通过如上述安全设置后，你的sQLserver就基本上安全了。其实sQLserver最大的安全隐患不是漏洞、病毒或者人侵，而是管理人员的安全意识。同时我们希望新推出(sQLServer服务帐户)可以对其进行访问。因此，为sQLerSver服务仅授予必要的权限是十分重要的。sQLserverZoos能在已经存在的安全方面的问题也得到了相应的加固，经得起时间考验。参考文献(1)胡道元，sqlserver(第三版)清华大学出版社，2002，3.(2)相明科，sqlserve:2000.中国水利水电出版社，2003，8.(3)侯宜军，icrMosoftSQLserve:安全性的研究，南京邮电学院学报(自然科学版)，00，2.3(4)郭鲜风，MSSQLserver分布式数据库的安全性研究，电脑与信息技术.2002，2.7.在防火墙上禁用sQLSeryor端口sQLserve:的默认安装将监视TcP端口1433以及UDp端口1434。配置您的防火墙来过滤掉到达这些端口的数据包。而且，还应该在防火墙上阻止与指定实例相关联的其他端口。8.使用最安全的文件系统NTFs是最适合安装sQLServer的文件系统。它比FAT(上接第40页)与企业经营又是相同的。凡是非公共物品可以通过市场实现城市资源增值的，政府不必干预更不应任意支配市场。任何完全在政府主观意志支配下的城市经营必然是社会资源的无谓耗费。2.注意区分社会福利性供给与市场化供给的关系对城市基础设施及基本服务可区别情况确定方针:对纯公共产品和自然垄断产业政府要加以严格管理，保障人民的正常需要，以保本、微利为原则。尤其对纯公共产品如城市道路和基本市政设施、普通的园林绿地、公共安全、等服务应由政府以税收收人充分保障，不应市场化经营;对准公共产品中的非自然垄断产业可以适度放开，但也必须加以管制，以社会能够接受为准则，维持正常合理的供给量和适当的价格;对一般竞争性产业，可以完全放开民间自由进人，有效竞争，使人民群众充分受益。3.加强城市发展中的立法和执法管理，维护社会利益要保障城市经营中政府功能和行为的合理化，必须完善相应的与市场化运作配套的法律、法规，使城市经营的行为有法可依;在城市管理和执法上，为防止政府有关部门权力过于集中、滥用权力的问题出现，应进一步全面推行管理、审批权与监督处罚权的分离，各部门职能独立，相互监督;此外还要加强群众对政府工作的监督。只有这样才能使政府的城市经营在其动作过程中产生良好的效果。参考文献l)陈自芳，(论城市经营中的政府功能定位与行为原则IJI，《现代城市研究》，2003年第3期。2)张伟，(以城市土地资本化推动城市经营问题的探讨IJI，《江西财经大学学报》，2002年第3期。3)王延辉，(《城市经济制导管理》IMI，社会科学文献出版社，2000年版。4)桑玉成，(《政府角色》IMI，上海社会科学院出版社，00年版。279