SQL Server安全模型让管理员远离噩梦
日期:2007年7月8日 作者: 查看:[大字体 中字体 小字体]-
由于多种原因,进行安全设置的人们常常不理解数据的真正价值,所以,他们也无法对数据进行合适的保护。将你的数据只限于需要的人访问,并保证访问的人的合法性,是一个数据库管理人员的重要工作。然而,确保数据可以访问不是意味着数据向所有人公开,相反的,你必须很仔细地保护数据,并只对需要使用数据的人进行开放。
设置安全性过程
通用的软件维护和数据库更新都会对系统安全起着重要作用,通常包括以下步骤:
分配一个可靠的密码给缺省的系统管理(SA)帐号。然后,建立自己唯一命名的帐号,并将这一帐号放入sysadmin。一定要确认新帐号也有一个可靠的密码。
将独立的密码分配给每一个用户。更好的,使用Windows集成安全性,并让Windows遵循稳定密码规则。
决定哪些用户需要查看数据,然后分配合适的许可。请不要随便赋予用户各种权限。例如不要把每一个人的工资随便让其他人访问。
决定哪些用户需要更新数据,然后分配合适的许可。帐号管理人员应该可以查看所有用户的信息,但程序员一定要限制更新这些信息的权限。特别的,只有负责特定帐号的管理者是唯一可以更改用户数据的人。
通过这些系列信息你可以学会很多知识,但你应该从开始就具备这些观点。否则,数据库的任何用户就可以偷窃或删除你的重要数据。
什么东西最容易发生错误?
对于记录,应该知道SQL Server并非绝对安全的。你应该提出一些想法并努力有效地保护你的服务器。在安装服务器之前有两点你必须完成的:
设置管理人员的帐号和密码。
保护系统防止受到Slammer worm的感染。
使一些特殊的东西安全化
SQL Server2000通过SA帐号而具有缺省的安全设置。在安装过程中,SQL Server自动建立一个管理的用户,并分配一个空白密码给SA用户名称。一些管理人员喜欢将SA密码设置为空白或者一个通用的密码以便每一个人都能知道。如果你犯这样的错误,进入你的数据库的任何人都可以为所欲为。具备管理者允许的任何人也可以做任何想做的事——不仅仅是数据库,而是整个计算机。所以,必须限制用户根据他们的需要进行访问数据库,不要给他们权利太少,也不能太多。
暂且把每一天管理的SA帐号放在一边,让我们看看带有安全密码的帐号。建立另一帐号以便管理(或者是一个SQL Server帐号或者是一个Windows帐号,取决于你的认证模式)。你所要避免的是太容易地猜到帐号名称或者帐号密码,因为任何人得到这些帐号,这就完蛋了。
一个引起警戒的坏事—Slammer worm(Slammer蠕虫)
2003年1月份出现了一些非常致命的恶意代码,即为Slammer worm。这一代码专门针对于SQL Server的安装进行攻击。通过利用SQL Servera代码中的缺欠,蠕虫能够在SQL Server安装的时候复制本身程序而损坏整个机器和其他机器。蠕虫生成时以15秒可以充满网络。微软已经花了很大力量来阻止这一蠕虫,但是蠕虫还是无法完全消除。有些人开始抱怨SQL Server的测试版本的原因,因为是它在安装时导致了系统的损坏。
很多月份已经过去了,有必要还要对蠕虫那么警惕吗?回答是肯定的。因为每一天还有很多Slammer的复制而感染机器。如果一个没有任何补丁的SQL Server连接到网络,你将会变成这一行为的牺牲品。从道德上而言,在将SQL Server与网络线连接之前,必须保护你的服务器,并运行所有的新服务补丁。
服务补丁的重要性
服务补丁在下载时是免费的。Slammer没有损坏你的数据,但它可以导致服务器的很多破坏,其危害是明显的。保护数据最简单的方法是下载Service Pack 3 或者Service Pack 3a。
蠕虫如何工作这一方面的知识并不是重要,重要的是蠕虫在微软的补丁发布以后还可以生存6个月。被蠕虫感染的商业系统通常有两个原因:一是管理人员没有很有效的保护好系统,二是蠕虫本身太厉害。
你应该注意到,SQL Server SP3也是无法保证它能够保持全部的数据。你应该实时监控Microsoft's Security Bulletin(微软安全公告)以保证处于被服务补丁通知的状态。
- [1] [2] 下一页
-
- SQL Server安全模型让管理员远离噩梦 相关文章:
- ·SQL Server安全模型让管理员远离噩梦
- SQL Server安全模型让管理员远离噩梦 相关软件
- 特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作
- 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转
- 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源:http://www.hackhome.com
精品推荐
热点TOP10
- ·SQL Server 练习题
- ·MS-SQL开发常用汇总和t-sql技巧集锦
- ·查询及删除重复记录的方法大全
- ·SQL server 2005安装问题汇总
- ·MS SQL的一些经典常用操作语句汇总
- ·SQL语法大全
- ·掌握SQL Server数据库的实用技巧
- ·解决用sa登录sql 2005失败的问题
- ·SQL Server建立应用程序安全性和程序角色
- ·轻松掌握使用 SQL Server 浏览器
- ·SQL Server安全问题全攻略之口令
- ·SQL Server 2005 中的分区表和索引
- ·sql server2000导入mdf文件
- ·一个复合查询方法
- ·如何创建SQL Server 2000故障转移群集
- ·SQL Server 2000企业版安装教程(1)
- ·SQL Server 2005 Reporting Services 初次使用感受
- ·使用用于SQL Server的IIS虚拟目录管理实用工具
- ·SQL Server中函数的用法两种
- ·改进SQL Server数据库系统安全五步走
特别推荐
- ·结束SQL注入隐患3招
- ·掌握SQL Server数据库的实用技巧
- ·SQL的简单查询
- ·快速解决SQL Server“安全疑难”相关问题
- ·SQL Server 2005:你应知道的13件事
- ·实例解析:减少SQL日志大小的三个好方法
- ·使用SQL2000将现有代码作为Web服务提供
- ·sql server 2000数据库置疑的解决方法
- ·SQL Server安全问题全攻略之口令
- ·XP上不能安装MicrosoftSQLSERVER2000吗
- ·解析Microsoft Sql Server中的like语句
- ·推荐;适合SQL初学者学习的SQL FAQ集锦
- ·SQL Server 2005 中的分区表和索引
- ·查询及删除重复记录的方法大全
- ·详细介绍优化SQL Server 2000的设置
- ·关于SQL SERVER 日志满的处理方法
- ·使用SQL Server 2000索引视图提高性能
- ·SQL server 2005安装问题汇总
- ·解决用sa登录sql 2005失败的问题
- ·简单三步走堵死SQL Server注入漏洞