淺談SQLServer數(shù)據(jù)庫(kù)應(yīng)用程序中數(shù)據(jù)庫(kù)的安全性

1、    淺談sqlserver數(shù)據(jù)庫(kù)應(yīng)用程序中數(shù)據(jù)庫(kù)的安全性    李瓊摘要；隨著信息技術(shù)的發(fā)展，數(shù)據(jù)安全問(wèn)題也引起了人們的重視。而在sol server數(shù)據(jù)庫(kù)應(yīng)用的過(guò)程中，還應(yīng)從應(yīng)用程序角度對(duì)數(shù)據(jù)庫(kù)的安全性進(jìn)行分析，以便尋求有效的安全保護(hù)策略?；谶@種認(rèn)識(shí)，該文對(duì)sol server數(shù)據(jù)庫(kù)應(yīng)用程序中數(shù)據(jù)庫(kù)的安全性展開了分析，從而為關(guān)注這一話題的人們提供參考。關(guān)鍵詞：sql server數(shù)據(jù)庫(kù)；應(yīng)用程序；數(shù)據(jù)庫(kù)；安全性：tp311 ：a ：1009-3044（2017）07-0013-02在當(dāng)今社會(huì)，數(shù)據(jù)庫(kù)得到了廣泛應(yīng)用。而隨著相關(guān)技術(shù)的發(fā)展，數(shù)據(jù)庫(kù)規(guī)模

2、也在不斷增加。在眾多數(shù)據(jù)庫(kù)中，sql serv-er數(shù)據(jù)庫(kù)擁有較高的性能，能夠確保數(shù)據(jù)的完整性和一致性。而加強(qiáng)對(duì)sql server數(shù)據(jù)庫(kù)應(yīng)用程序中數(shù)據(jù)庫(kù)安全性的研究，則能為數(shù)據(jù)庫(kù)的數(shù)據(jù)安全提供更多保障，進(jìn)而更好地進(jìn)行該種數(shù)據(jù)庫(kù)的應(yīng)用。1sql server數(shù)據(jù)庫(kù)及其安全策略sql server數(shù)據(jù)庫(kù)為具有較高性能和外擴(kuò)功能的數(shù)據(jù)庫(kù)系統(tǒng)，能夠進(jìn)行windows nt平臺(tái)的使用，并且擁有先進(jìn)的管理方法，能夠?yàn)橄到y(tǒng)的本地設(shè)置和遠(yuǎn)程訪問(wèn)提供支持，同時(shí)也可以為圖形化管理工具提供支持。在數(shù)據(jù)完整的情況下，sqlserver數(shù)據(jù)庫(kù)能夠較好的完成數(shù)據(jù)處理，并為多對(duì)稱處理結(jié)構(gòu)和存儲(chǔ)過(guò)程提供支持。此外，sql

3、server數(shù)據(jù)庫(kù)擁有靈活語(yǔ)言格式，能夠在工作人員和用戶的數(shù)據(jù)平臺(tái)上得到應(yīng)用。就目前來(lái)看，sql server數(shù)據(jù)庫(kù)主要采用了安全性訪問(wèn)策略確保數(shù)據(jù)庫(kù)的安全性，即通過(guò)用戶訪問(wèn)控制確保系統(tǒng)安全。而用戶訪問(wèn)控制被劃分為兩個(gè)階段，即登錄賬戶認(rèn)證階段和訪問(wèn)許可階段。采用第一種訪問(wèn)控制策略，需要用戶使用身份認(rèn)證進(jìn)行系統(tǒng)登錄，如果無(wú)法認(rèn)證成功則將無(wú)法進(jìn)行服務(wù)器的連接。采用第二種訪問(wèn)控制策略，是在用戶登錄后利用網(wǎng)絡(luò)連接進(jìn)行transact-sql語(yǔ)句的發(fā)送，只有數(shù)據(jù)庫(kù)確認(rèn)用戶訪問(wèn)許可后，用戶才能進(jìn)行數(shù)據(jù)庫(kù)操作。2 sql server數(shù)據(jù)庫(kù)應(yīng)用程序中數(shù)據(jù)庫(kù)的安全性在用戶登入和獲得數(shù)據(jù)庫(kù)認(rèn)證許可后，還要在應(yīng)用

4、程序中確保數(shù)據(jù)庫(kù)的安全性，才能確保系統(tǒng)的數(shù)據(jù)安全。2.1角色客戶應(yīng)用程序中數(shù)據(jù)庫(kù)的安全性利用角色管理客戶應(yīng)用程序，能夠利用特點(diǎn)應(yīng)用程序進(jìn)行用戶訪問(wèn)數(shù)據(jù)的限制，從而使用戶特定應(yīng)用程序的安全性得到保證。例如，在企業(yè)訂貨登記員進(jìn)行訂貨登記應(yīng)用程序使用時(shí)，其才能完成表格數(shù)據(jù)的更新，如果其不使用該程序，就無(wú)法進(jìn)行表格的訪問(wèn)。針對(duì)這一情況，可以完成專門的應(yīng)用程序角色的制定，而該角色不包含成員，并且需要激活密碼。除了在public角色的許可權(quán)限外，用戶賬戶及其所屬角色都無(wú)法得到應(yīng)用。如果用戶能夠進(jìn)行當(dāng)前數(shù)據(jù)庫(kù)中所有應(yīng)用程序角色的繼承，則能獲得許可權(quán)限。在具體進(jìn)行角色客戶應(yīng)用程序應(yīng)用時(shí)，還要先完成應(yīng)用程序角色

5、的創(chuàng)建。具體來(lái)講，就是進(jìn)行系統(tǒng)存儲(chǔ)過(guò)程sp-addap-prole的執(zhí)行，然后進(jìn)行新的應(yīng)用程序角色的創(chuàng)建。在這一過(guò)程中，用戶需要在當(dāng)前數(shù)據(jù)庫(kù)的系統(tǒng)表sysusers中完成新行的插入，從而完成角色安全賬戶的創(chuàng)建。在對(duì)程序角色進(jìn)行激活時(shí)，還要利用password完成密碼的設(shè)置，然后通過(guò)執(zhí)行re-yoke和grant等語(yǔ)句進(jìn)行角色許可權(quán)限的設(shè)置。在對(duì)應(yīng)用程序角色進(jìn)行激活時(shí)，還應(yīng)進(jìn)行系統(tǒng)存儲(chǔ)過(guò)程sp-setapprole的執(zhí)行。具體來(lái)講，就是利用transact-sql語(yǔ)句進(jìn)行執(zhí)行，而不是在其他自定義事務(wù)或存儲(chǔ)過(guò)程中進(jìn)行激活。在這一過(guò)程中，用戶需要進(jìn)行應(yīng)用程序驗(yàn)證密碼的提供，并且利用odbc規(guī)范函數(shù)將

6、密碼轉(zhuǎn)換為字符串，以實(shí)現(xiàn)加密處理。在密碼管理上，還應(yīng)進(jìn)行sp-addapproh的執(zhí)行，并進(jìn)行應(yīng)用程序角色的刪除和程序角色密碼的更改，進(jìn)而使密碼管理得當(dāng)進(jìn)一步加強(qiáng)。2.2網(wǎng)絡(luò)連接程序中數(shù)據(jù)庫(kù)的安全性在應(yīng)用數(shù)據(jù)庫(kù)的過(guò)程中，往往需要將數(shù)據(jù)庫(kù)連接到網(wǎng)絡(luò)上實(shí)現(xiàn)信息貢獻(xiàn)。但是，網(wǎng)絡(luò)存在的不安全因素較多，所以將給數(shù)據(jù)庫(kù)應(yīng)用程序中的數(shù)據(jù)庫(kù)安全帶來(lái)較大威脅。針對(duì)這一情況，還要采用一定的措施為網(wǎng)絡(luò)連接程序的應(yīng)用提供安全保障。首先，可以通過(guò)設(shè)置路由器、代理服務(wù)器和安裝防火墻為數(shù)據(jù)庫(kù)的安全提供保障。通過(guò)設(shè)置路由器，則能夠加強(qiáng)網(wǎng)絡(luò)間數(shù)據(jù)包的轉(zhuǎn)發(fā)控制，從而為數(shù)據(jù)進(jìn)出提供安全保障。而通過(guò)使用代理服務(wù)器進(jìn)行網(wǎng)絡(luò)連接，則能使

7、用戶進(jìn)出網(wǎng)絡(luò)的訪問(wèn)得到安全保證，并且阻止未授權(quán)用戶進(jìn)入局域網(wǎng)。同時(shí)，采用該種方式也能對(duì)全部許可權(quán)限進(jìn)行控制，并對(duì)所有端口訪問(wèn)進(jìn)行鑒定，因此能夠使敏感數(shù)據(jù)的安全性得到保證。而安裝防火墻則能完成來(lái)自網(wǎng)絡(luò)的信息流量的有效檢驗(yàn)、鑒定和過(guò)濾，能夠阻止黑客和不良信息進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng)。就目前來(lái)看，安裝防火墻是最有效的用戶攻擊防御方法，能夠完成用戶與網(wǎng)絡(luò)間全部通信的分析。而想要使數(shù)據(jù)庫(kù)的安全性得到保證，可以使用web服務(wù)器和網(wǎng)絡(luò)與企業(yè)兩個(gè)防火墻。其次，在網(wǎng)絡(luò)數(shù)據(jù)交換的過(guò)程中，可以使用tabular datastream協(xié)議完成數(shù)據(jù)的在線加密保護(hù)，從而使數(shù)據(jù)通信的安全性得到保證。一方面，在進(jìn)行計(jì)算機(jī)ipsec安全

8、策略配置時(shí)，可以利用定義規(guī)則和篩選集合的方式，從而完成指定客戶間安全通信的有效控制。另一方面，針對(duì)客戶端計(jì)算機(jī)，可以利用安全套接字層進(jìn)行加密控制。最后，可以通過(guò)完成服務(wù)器tcp/ip配置確保數(shù)據(jù)庫(kù)的安全性。具體來(lái)講，就是在連接到網(wǎng)絡(luò)時(shí)，做好數(shù)據(jù)庫(kù)服務(wù)器tcp/ip的配置，從而使服務(wù)器外的ip無(wú)法實(shí)現(xiàn)商品連接。采用該種方法，實(shí)際是對(duì)sql server實(shí)例進(jìn)行隱藏。想要達(dá)成這一目標(biāo)，還要限制訪問(wèn)應(yīng)用程序服務(wù)器ip，利用windows進(jìn)行網(wǎng)絡(luò)連接安全機(jī)制的提供，以確保只有系統(tǒng)用戶才能進(jìn)行數(shù)據(jù)庫(kù)端口連接，繼而減少來(lái)自網(wǎng)絡(luò)的安全威脅。此外，還可以進(jìn)行tcp/ip端口的修改，從而使sqlserver得到

9、隱藏。而考慮到使用1434端口的udp較容易進(jìn)行tcp/ip端口的檢測(cè)，所以還應(yīng)利用ipsec協(xié)議完成該種通訊的過(guò)濾，并且選擇網(wǎng)絡(luò)配置中的協(xié)議屬性作為實(shí)例屬性，進(jìn)而使用默認(rèn)端口完成sql server的隱藏。2.3視圖訪問(wèn)應(yīng)用程序中數(shù)據(jù)庫(kù)的安全性在sql server數(shù)據(jù)庫(kù)中，可以利用視圖完成數(shù)據(jù)的查詢和修改，所以還應(yīng)加強(qiáng)視圖訪問(wèn)應(yīng)用程序中的數(shù)據(jù)安全管理。而視圖是由行和列構(gòu)成，是虛擬的數(shù)據(jù)結(jié)果集，類似真實(shí)的數(shù)據(jù)庫(kù)表，可以從表和視圖本身獲得數(shù)據(jù)。這些數(shù)據(jù)既可以從一個(gè)數(shù)據(jù)庫(kù)中獲得，也可以從多個(gè)數(shù)據(jù)庫(kù)中獲得。想要確保視圖訪問(wèn)的安全性，還應(yīng)使用戶僅能完成需要查看的數(shù)據(jù)的查詢。而無(wú)法對(duì)其他數(shù)據(jù)行和列進(jìn)行訪問(wèn)，數(shù)據(jù)庫(kù)的安全性則能得到保證。具體來(lái)講，就是給予用戶視圖許可權(quán)限，但不給予用戶表許可權(quán)限。采用該種方法，用戶無(wú)法進(jìn)行視圖引用基表的訪問(wèn)，但是能夠查看其中含有的數(shù)據(jù)信息。而針對(duì)不同的用戶，則要給予不同的視圖權(quán)限，從而使不同用戶完成不同結(jié)果集的查詢，進(jìn)而使行級(jí)或列級(jí)的數(shù)據(jù)安全得到保證。在數(shù)據(jù)存儲(chǔ)的過(guò)程中，則可以給予用戶執(zhí)行存儲(chǔ)的權(quán)限確保數(shù)據(jù)庫(kù)的安全性。利用該權(quán)限，用戶即便無(wú)法進(jìn)行表和視圖的訪問(wèn)，也可以完