类型：电子课程规模：8.5M语言：中文评分：8.3标签:立即下载数据库是电子商务、金融和ERP系统的基础，通常保存着重要的业务伙伴和客户信息。大多数企业、组织和政府部门的电子数据都存储在各种数据库中，他们使用这些数据库来存储一些个人数据，如员工工资、个人数据等。数据库服务器还保存敏感的财务数据。包括交易记录、商业事务和账户数据、战略或专业信息，如专利和工程数据，甚至市场计划等。应保护其免受竞争对手和其他非法人员的侵害。数据完整性和合法访问会受到多方面的威胁，包括密码策略、系统后门、数据库操作以及自身的安全方案。然而，数据库通常不如操作系统和网络安全。微软的SQL Server是一个应用广泛的数据库，很多电子商务网站和企业内部信息平台都是基于SQL Server的。然而，数据库的安全并没有等同于人们更系统的安全。大多数管理员认为，只要网络和操作系统的安全性做得好，所有应用程序都会是安全的。大多数系统管理员对数据库不熟悉，而数据库管理员对安全问题关注较少，一些安全公司也忽视了数据库的安全性，使得数据库的安全性更加严重。数据库系统中的安全漏洞和配置不当通常会导致难以发现的严重后果。数据库应用程序通常与操作系统的最高管理员密切相关。粗放式的SQL Server数据库是一个“端口”式的数据库，这意味着任何人都可以尝试用分析工具连接到数据库，从而绕过操作系统的安全机制，然后闯入系统，破坏和窃取数据，甚至破坏整个系统。在这里，我们主要谈谈SQL Server2000数据库的安全配置以及一些相关的安全和使用问题。在对SQL Server 2000数据库进行安全配置之前，必须先配置操作系统，以确保操作系统处于安全状态。然后，对想要使用的操作数据库软件(程序)进行必要的安全审计，比如ASP、PHP等脚本。这是许多基于数据库的WEB应用程序中常见的安全风险。对于脚本来说，主要是过滤问题，一些类似的需要过滤。@/和其他字符，以防止破坏者构造恶意的SQL语句。然后，请在安装SQL Server2000后，对sp1和最新的sp2进行修补。完成以上三个步骤后，我们将讨论SQL Server的安全配置。1使用安全密码策略我们将密码策略放在所有安全配置的第一步。请注意，很多数据库账户的密码太简单，这和系统密码太简单是一样的道理。多关注sa，不要让sa账号的密码写在应用或者脚本里。强大的密码是安全的第一步！安装SQL Server2000时，如果使用混合模式，则需要输入sa的密码，除非您确认必须使用空密码。这是对以前版本的改进。同时，养成定期更换密码的好习惯。数据库管理员应定期检查是否有不符合密码要求的帐户。例如，使用以下SQL语句：2。使用安全帐户策略。由于SQL Server无法更改sa用户名并删除此超级用户，因此我们必须用最强的保护来保护此帐户，包括使用非常强的密码。最好不要在数据库应用程序中使用sa帐户，只有在没有其他方法登录到SQL Server实例时(例如，当其他系统管理员不可用或忘记密码时)才使用sa。建议数据库管理员建立一个与sa具有相同权限的超级用户来管理数据库。安全帐户策略还包括不要用管理员权限淹没帐户。SQL Server有两种身份验证模式：Windows身份验证和混合身份验证。

如果数据库管理员不希望操作系统管理员通过操作系统登录联系数据库，可以在账户管理中删除系统账户“BUILTIN Administrators”。但是这样一来，s a账号的密码一旦忘记，就没有办法恢复了。许多主机仅将数据库应用程序用于简单的功能，如查询和修改。请根据实际需要分配账号，授予只能满足应用需求和需求的权限。例如，只要查询功能可用，就可以使用简单的公共帐户进行选择。3.加强数据库日志的记录。审核数据库登录事件的“失败和成功”，在实例属性中选择“安全”，将审核级别选择为“全部”，这样所有账户的登录事件都会详细记录在数据库系统和操作系统日志中。定期检查SQL Server日志，查看是否有任何可疑的登录事件，或者使用DOS命令。Findstr /C:“登录”d : Microsoft SQL Server MSSQL Log *。* 4.管理扩展存储过程并对存储过程执行主要操作，注意帐户调用扩展存储过程的权限。事实上，在大多数应用程序中，系统存储过程根本就不多，而且SQL Server中这么多系统存储过程只是为了满足用户的需求，所以请删除不必要的存储过程，因为有些系统存储过程很容易被用来增强权限或破坏权限。如果不需要扩展存储过程xp_cmdshell，请将其删除。使用此SQL语句：使用master sp _ dropdextendedproc ' XP _ cmdshell ' XP _ cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一扇大后门。如果需要此存储过程，请使用此语句来恢复它。Sp _ addextendedproc' XP _ cmdshell '，' xpsql70.dll '如果不需要，请放弃OLE自动存储过程(管理器中的某些功能无法使用)。这些过程包括以下内容：sp _ oacreatesp _ oadestroysp _ oageterrorinfo sp _ oagetpropertysp _ oamethods p _ oastoppertropertysp _ oastop。注册表存储过程甚至可以读取操作系统管理员的密码。以下是：XP _ regaddmulthyringxp _ regdeletekey XP _ regdeletevalue XP _ regnumvalues XP _ regradxp _ Removemulthyringxp _ regwrite。还有一些其他的扩展存储过程，所以你最好检查一下。在处理存储过程时，请确保避免损坏数据库或应用程序。5.SQL Server 2000使用的表格数据流协议用于网络数据交换。如果不加密，所有网络传输都是明文，包括密码和数据库内容，这是一个很大的安全威胁。人们可以在网络中拦截他们需要的东西，包括数据库帐户和密码。因此，如果条件允许，最好使用SSL对协议进行加密。当然，你需要一个证书来支持它。6.不要让任何人随便检测你的TCP/IP端口。默认情况下，SQL Server使用1433端口监视器。很多人说在配置SQL Server的时候要换这个端口，这样别人就不容易知道用什么端口了。不幸的是，通过微软没有透露的1434端口的UDP探测，很容易知道SQL Server使用的是什么TCP/IP端口。不过，微软还是考虑到了这个问题。毕竟，开放和开放的端口会带来不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏SQL Server实例。如果隐藏了SQL Server实例，则禁止对试图枚举网络上现有SQL Server实例的客户端发送的广播做出响应。这样，其他人就不能使用1434来探测您的TCP/IP端口(除非您使用端口扫描)。7.要修改TCP/IP用法，请根据上一步的配置更改原始默认端口1433。在实例属性中选择网络配置中TCP/IP协议的属性，将TCP/IP使用的默认端口更改为另一个端口。

8.拒绝来自端口1434的探针。由于1434端口的探测没有限制，一些数据库信息会被其他人检测到，可能会受到DOS的攻击，增加了数据库服务器的CPU负载。所以对于Windows 2000操作系统来说，在IPSec过滤中拒绝1434端口的UDP通信可以尽可能的隐藏你的SQL Server。9.网络连接的IP限制SQL Server 2000数据库系统本身并没有为网络连接提供安全解决方案，但是Windows 2000提供了这样的安全机制。IP包安全可以通过使用操作系统自带的IPSec来实现。请限制IP连接，只保证自己的IP可以访问，拒绝其他IP做的端口连接，有效控制来自网络的安全威胁。