淺談SQLServer數(shù)據(jù)庫應用程序中數(shù)據(jù)庫的安全性

1、    淺談sqlserver數(shù)據(jù)庫應用程序中數(shù)據(jù)庫的安全性    李瓊摘要；隨著信息技術的發(fā)展，數(shù)據(jù)安全問題也引起了人們的重視。而在sol server數(shù)據(jù)庫應用的過程中，還應從應用程序角度對數(shù)據(jù)庫的安全性進行分析，以便尋求有效的安全保護策略?；谶@種認識，該文對sol server數(shù)據(jù)庫應用程序中數(shù)據(jù)庫的安全性展開了分析，從而為關注這一話題的人們提供參考。關鍵詞：sql server數(shù)據(jù)庫；應用程序；數(shù)據(jù)庫；安全性：tp311 ：a ：1009-3044（2017）07-0013-02在當今社會，數(shù)據(jù)庫得到了廣泛應用。而隨著相關技術的發(fā)展，數(shù)據(jù)庫規(guī)模

2、也在不斷增加。在眾多數(shù)據(jù)庫中，sql serv-er數(shù)據(jù)庫擁有較高的性能，能夠確保數(shù)據(jù)的完整性和一致性。而加強對sql server數(shù)據(jù)庫應用程序中數(shù)據(jù)庫安全性的研究，則能為數(shù)據(jù)庫的數(shù)據(jù)安全提供更多保障，進而更好地進行該種數(shù)據(jù)庫的應用。1sql server數(shù)據(jù)庫及其安全策略sql server數(shù)據(jù)庫為具有較高性能和外擴功能的數(shù)據(jù)庫系統(tǒng)，能夠進行windows nt平臺的使用，并且擁有先進的管理方法，能夠為系統(tǒng)的本地設置和遠程訪問提供支持，同時也可以為圖形化管理工具提供支持。在數(shù)據(jù)完整的情況下，sqlserver數(shù)據(jù)庫能夠較好的完成數(shù)據(jù)處理，并為多對稱處理結構和存儲過程提供支持。此外，sql

3、server數(shù)據(jù)庫擁有靈活語言格式，能夠在工作人員和用戶的數(shù)據(jù)平臺上得到應用。就目前來看，sql server數(shù)據(jù)庫主要采用了安全性訪問策略確保數(shù)據(jù)庫的安全性，即通過用戶訪問控制確保系統(tǒng)安全。而用戶訪問控制被劃分為兩個階段，即登錄賬戶認證階段和訪問許可階段。采用第一種訪問控制策略，需要用戶使用身份認證進行系統(tǒng)登錄，如果無法認證成功則將無法進行服務器的連接。采用第二種訪問控制策略，是在用戶登錄后利用網(wǎng)絡連接進行transact-sql語句的發(fā)送，只有數(shù)據(jù)庫確認用戶訪問許可后，用戶才能進行數(shù)據(jù)庫操作。2 sql server數(shù)據(jù)庫應用程序中數(shù)據(jù)庫的安全性在用戶登入和獲得數(shù)據(jù)庫認證許可后，還要在應用

4、程序中確保數(shù)據(jù)庫的安全性，才能確保系統(tǒng)的數(shù)據(jù)安全。2.1角色客戶應用程序中數(shù)據(jù)庫的安全性利用角色管理客戶應用程序，能夠利用特點應用程序進行用戶訪問數(shù)據(jù)的限制，從而使用戶特定應用程序的安全性得到保證。例如，在企業(yè)訂貨登記員進行訂貨登記應用程序使用時，其才能完成表格數(shù)據(jù)的更新，如果其不使用該程序，就無法進行表格的訪問。針對這一情況，可以完成專門的應用程序角色的制定，而該角色不包含成員，并且需要激活密碼。除了在public角色的許可權限外，用戶賬戶及其所屬角色都無法得到應用。如果用戶能夠進行當前數(shù)據(jù)庫中所有應用程序角色的繼承，則能獲得許可權限。在具體進行角色客戶應用程序應用時，還要先完成應用程序角色

5、的創(chuàng)建。具體來講，就是進行系統(tǒng)存儲過程sp-addap-prole的執(zhí)行，然后進行新的應用程序角色的創(chuàng)建。在這一過程中，用戶需要在當前數(shù)據(jù)庫的系統(tǒng)表sysusers中完成新行的插入，從而完成角色安全賬戶的創(chuàng)建。在對程序角色進行激活時，還要利用password完成密碼的設置，然后通過執(zhí)行re-yoke和grant等語句進行角色許可權限的設置。在對應用程序角色進行激活時，還應進行系統(tǒng)存儲過程sp-setapprole的執(zhí)行。具體來講，就是利用transact-sql語句進行執(zhí)行，而不是在其他自定義事務或存儲過程中進行激活。在這一過程中，用戶需要進行應用程序驗證密碼的提供，并且利用odbc規(guī)范函數(shù)將

6、密碼轉換為字符串，以實現(xiàn)加密處理。在密碼管理上，還應進行sp-addapproh的執(zhí)行，并進行應用程序角色的刪除和程序角色密碼的更改，進而使密碼管理得當進一步加強。2.2網(wǎng)絡連接程序中數(shù)據(jù)庫的安全性在應用數(shù)據(jù)庫的過程中，往往需要將數(shù)據(jù)庫連接到網(wǎng)絡上實現(xiàn)信息貢獻。但是，網(wǎng)絡存在的不安全因素較多，所以將給數(shù)據(jù)庫應用程序中的數(shù)據(jù)庫安全帶來較大威脅。針對這一情況，還要采用一定的措施為網(wǎng)絡連接程序的應用提供安全保障。首先，可以通過設置路由器、代理服務器和安裝防火墻為數(shù)據(jù)庫的安全提供保障。通過設置路由器，則能夠加強網(wǎng)絡間數(shù)據(jù)包的轉發(fā)控制，從而為數(shù)據(jù)進出提供安全保障。而通過使用代理服務器進行網(wǎng)絡連接，則能使

7、用戶進出網(wǎng)絡的訪問得到安全保證，并且阻止未授權用戶進入局域網(wǎng)。同時，采用該種方式也能對全部許可權限進行控制，并對所有端口訪問進行鑒定，因此能夠使敏感數(shù)據(jù)的安全性得到保證。而安裝防火墻則能完成來自網(wǎng)絡的信息流量的有效檢驗、鑒定和過濾，能夠阻止黑客和不良信息進入數(shù)據(jù)庫系統(tǒng)。就目前來看，安裝防火墻是最有效的用戶攻擊防御方法，能夠完成用戶與網(wǎng)絡間全部通信的分析。而想要使數(shù)據(jù)庫的安全性得到保證，可以使用web服務器和網(wǎng)絡與企業(yè)兩個防火墻。其次，在網(wǎng)絡數(shù)據(jù)交換的過程中，可以使用tabular datastream協(xié)議完成數(shù)據(jù)的在線加密保護，從而使數(shù)據(jù)通信的安全性得到保證。一方面，在進行計算機ipsec安全

8、策略配置時，可以利用定義規(guī)則和篩選集合的方式，從而完成指定客戶間安全通信的有效控制。另一方面，針對客戶端計算機，可以利用安全套接字層進行加密控制。最后，可以通過完成服務器tcp/ip配置確保數(shù)據(jù)庫的安全性。具體來講，就是在連接到網(wǎng)絡時，做好數(shù)據(jù)庫服務器tcp/ip的配置，從而使服務器外的ip無法實現(xiàn)商品連接。采用該種方法，實際是對sql server實例進行隱藏。想要達成這一目標，還要限制訪問應用程序服務器ip，利用windows進行網(wǎng)絡連接安全機制的提供，以確保只有系統(tǒng)用戶才能進行數(shù)據(jù)庫端口連接，繼而減少來自網(wǎng)絡的安全威脅。此外，還可以進行tcp/ip端口的修改，從而使sqlserver得到

9、隱藏。而考慮到使用1434端口的udp較容易進行tcp/ip端口的檢測，所以還應利用ipsec協(xié)議完成該種通訊的過濾，并且選擇網(wǎng)絡配置中的協(xié)議屬性作為實例屬性，進而使用默認端口完成sql server的隱藏。2.3視圖訪問應用程序中數(shù)據(jù)庫的安全性在sql server數(shù)據(jù)庫中，可以利用視圖完成數(shù)據(jù)的查詢和修改，所以還應加強視圖訪問應用程序中的數(shù)據(jù)安全管理。而視圖是由行和列構成，是虛擬的數(shù)據(jù)結果集，類似真實的數(shù)據(jù)庫表，可以從表和視圖本身獲得數(shù)據(jù)。這些數(shù)據(jù)既可以從一個數(shù)據(jù)庫中獲得，也可以從多個數(shù)據(jù)庫中獲得。想要確保視圖訪問的安全性，還應使用戶僅能完成需要查看的數(shù)據(jù)的查詢。而無法對其他數(shù)據(jù)行和列進行訪問，數(shù)據(jù)庫的安全性則能得到保證。具體來講，就是給予用戶視圖許可權限，但不給予用戶表許可權限。采用該種方法，用戶無法進行視圖引用基表的訪問，但是能夠查看其中含有的數(shù)據(jù)信息。而針對不同的用戶，則要給予不同的視圖權限，從而使不同用戶完成不同結果集的查詢，進而使行級或列級的數(shù)據(jù)安全得到保證。在數(shù)據(jù)存儲的過程中，則可以給予用戶執(zhí)行存儲的權限確保數(shù)據(jù)庫的安全性。利用該權限，用戶即便無法進行表和視圖的訪問，也可以完