張婕++袁力田

摘要：本文主要針對(duì)SQL Server數(shù)據(jù)庫(kù)的安全策略進(jìn)行分析，并對(duì)保障SQL Server數(shù)據(jù)庫(kù)應(yīng)用程序的安全策略進(jìn)行詳細(xì)闡述，為數(shù)據(jù)庫(kù)的安全管理工作提供高可靠性、合理化的理論參考。

關(guān)鍵詞：SQL Server數(shù)據(jù)庫(kù)；應(yīng)用程序；視圖

中圖分類(lèi)號(hào)：TP309.2 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）08-0203-01

在信息技術(shù)不斷普及的背景中，具有操作便捷性、查詢(xún)可靠性等優(yōu)勢(shì)的數(shù)據(jù)庫(kù)在個(gè)體用戶(hù)及企業(yè)用戶(hù)中得到了十分廣泛的應(yīng)用。大量重要數(shù)據(jù)信息的儲(chǔ)存使得人們逐漸對(duì)數(shù)據(jù)庫(kù)的安全水平提出較高的要求。為了避免非法用戶(hù)越權(quán)破壞數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)信息、惡意竊取信息以獲取經(jīng)濟(jì)效益，需加強(qiáng)數(shù)據(jù)庫(kù)安全策略的應(yīng)用。

1 SQL Server數(shù)據(jù)庫(kù)的安全策略

從整體角度來(lái)講，SQL Server數(shù)據(jù)庫(kù)的安全策略主要包含以下幾種：

1.1 賬戶(hù)登錄認(rèn)證安全策略

在SQL Server數(shù)據(jù)庫(kù)中，賬戶(hù)的登錄認(rèn)證主要通過(guò)以下幾種方式完成：第一，混合模式?；旌夏Ｊ皆试S用戶(hù)根據(jù)自身需求自主采用SQL Server身份或Windows身份。當(dāng)用戶(hù)以提交任意一種身份后，SQL Server數(shù)據(jù)庫(kù)將對(duì)其認(rèn)證進(jìn)行判定，確認(rèn)其身份信息無(wú)誤后，可允許用戶(hù)與SQL Server數(shù)據(jù)庫(kù)之間建立連接。第二，Windows身份認(rèn)證模式。用戶(hù)只能采用固定的Windows身份信息通過(guò)SQL Server數(shù)據(jù)庫(kù)的認(rèn)證。

1.2 訪問(wèn)許可確認(rèn)安全策略

登錄認(rèn)證通過(guò)后，SQL Server數(shù)據(jù)庫(kù)會(huì)采用訪問(wèn)許可這一安全策略保障內(nèi)部數(shù)據(jù)的安全。當(dāng)用戶(hù)完成登錄操作后，SQL Server數(shù)據(jù)庫(kù)應(yīng)用程序?qū)⒀杆傧蛴脩?hù)發(fā)送Transact-SQL語(yǔ)句，用于用戶(hù)訪問(wèn)許可權(quán)限的驗(yàn)證。若用戶(hù)能夠通過(guò)驗(yàn)證，則應(yīng)用程序?qū)⒔邮軄?lái)自用戶(hù)的訪問(wèn)許可。

2 SQL Server數(shù)據(jù)庫(kù)應(yīng)用程序中數(shù)據(jù)庫(kù)安全性的保障策略

SQL Server數(shù)據(jù)庫(kù)應(yīng)用程序中數(shù)據(jù)庫(kù)安全性的保障策略主要包含以下幾種：

2.1 存儲(chǔ)策略

這種策略是指，在不授予用戶(hù)訪問(wèn)、修改表的基礎(chǔ)上，授予用戶(hù)執(zhí)行存儲(chǔ)過(guò)程權(quán)限，即為用戶(hù)提供含存儲(chǔ)過(guò)程的EXEC權(quán)限。當(dāng)用戶(hù)利用該權(quán)限時(shí)，將通過(guò)SQL Server數(shù)據(jù)庫(kù)查詢(xún)到相應(yīng)的數(shù)據(jù)信息，同時(shí)有效避免某些不法分子惡意盜取或損壞數(shù)據(jù)庫(kù)中的其他數(shù)據(jù)。

2.2 視圖策略

作為一個(gè)數(shù)據(jù)結(jié)果集，視圖在SQL Server數(shù)據(jù)庫(kù)應(yīng)用程序中的應(yīng)用優(yōu)勢(shì)主要包含以下幾種：提升程序性能、限制用戶(hù)隨意訪問(wèn)明明按程序、簡(jiǎn)化程序中的復(fù)雜查詢(xún)以及隱蔽數(shù)據(jù)庫(kù)復(fù)雜性等。在實(shí)際的安全管理工作中，可通過(guò)如下方式保障SQL Server數(shù)據(jù)庫(kù)應(yīng)用程序數(shù)據(jù)庫(kù)的安全：

（1）視圖、權(quán)限結(jié)合方式：這種方式是指，在不授予用戶(hù)表許可權(quán)限的情況下，為其提供視圖許可權(quán)限。在數(shù)據(jù)查詢(xún)過(guò)程中，用戶(hù)僅能利用視圖查看數(shù)據(jù)信息，但無(wú)法訪問(wèn)視圖所引用的基表。

（2）視圖限制訪問(wèn)功能運(yùn)用方式：限制訪問(wèn)是視圖的基本功能之一。在實(shí)際的訪問(wèn)過(guò)程中，用戶(hù)可借助視圖，對(duì)其所看到的行和列進(jìn)行查詢(xún)、修改。由于數(shù)據(jù)庫(kù)中的其他數(shù)據(jù)不在視圖可見(jiàn)范圍內(nèi)，因此數(shù)據(jù)庫(kù)的數(shù)據(jù)安全將得到良好的保障。

2.3 應(yīng)用程序角色管理策略

應(yīng)用程序角色管理也是保障SQL Server數(shù)據(jù)庫(kù)安全性的重要策略之一。該策略的安全保障功能主要是基于該角色的獨(dú)立激活密碼需求、不包含成員等特征產(chǎn)生的。在實(shí)際的安全管理工作中，可通過(guò)如下流程創(chuàng)建應(yīng)用程序角色，以提升數(shù)據(jù)庫(kù)的安全性水平：

（1）創(chuàng)建應(yīng)用程序角色步驟：基于執(zhí)行系統(tǒng)存儲(chǔ)過(guò)程sp-adda pprole，于數(shù)據(jù)庫(kù)系統(tǒng)表sysuers內(nèi)部插入新行，完成應(yīng)用程序角色的創(chuàng)建，同時(shí)為該新角色增加對(duì)應(yīng)的安全賬戶(hù)。在實(shí)際使用過(guò)程中，可執(zhí)行Transact-SQL語(yǔ)句（根據(jù)實(shí)際狀況選擇revoke等語(yǔ)言），促使用戶(hù)獲得管理應(yīng)用程序許可權(quán)限的能力，避免數(shù)據(jù)受損引發(fā)經(jīng)濟(jì)損失。

（2）激活應(yīng)用程序角色步驟：登錄并連接完成后，客戶(hù)端在執(zhí)行系統(tǒng)存儲(chǔ)過(guò)程sp-setapprole后，所創(chuàng)建應(yīng)用程序角色的權(quán)限方可被激活。由于這一過(guò)程較為特殊，因此，SQL Server數(shù)據(jù)庫(kù)僅允許客戶(hù)端采用Transact-SQL語(yǔ)句執(zhí)行存儲(chǔ)操作。上述基本工作全部完成后，用戶(hù)需要向數(shù)據(jù)庫(kù)提交驗(yàn)證密碼，進(jìn)而實(shí)現(xiàn)應(yīng)用程序角色的激活。

2.4 網(wǎng)絡(luò)連接策略

在SQL Server數(shù)據(jù)庫(kù)的使用過(guò)程中，企業(yè)常常會(huì)出于信息共享目的，在數(shù)據(jù)庫(kù)與網(wǎng)絡(luò)之間建立連接。這種做法在為企業(yè)獲得更多數(shù)據(jù)的同時(shí)，則增加了SQL Server數(shù)據(jù)庫(kù)本身的風(fēng)險(xiǎn)。對(duì)此，可運(yùn)用如下方法保障數(shù)據(jù)庫(kù)的安全：

（1）配置應(yīng)用程序服務(wù)器IP方式：在信息共享狀態(tài)下，可將IP作為限制載體，配置連接互聯(lián)網(wǎng)的SQL Server數(shù)據(jù)庫(kù)服務(wù)器IP。在這種情況下，所有SQL Server實(shí)例將被妥善隱藏，且其他IP無(wú)法與商品間建立連接，進(jìn)而避免不法分子故意損壞數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息。

（2）采用防火墻等安全技術(shù)方式：目前信息共享模式下的常用安全技術(shù)主要包含以下幾種：第一，安裝防火墻技術(shù)。通過(guò)安裝防火墻的方式，在信息進(jìn)入計(jì)算機(jī)之前對(duì)來(lái)自互聯(lián)網(wǎng)的信息進(jìn)行過(guò)濾、鑒定。當(dāng)鑒定結(jié)果表明該信息為不良信息，將無(wú)法繼續(xù)進(jìn)入計(jì)算機(jī)中。以企業(yè)用戶(hù)為例，為防止數(shù)據(jù)庫(kù)中數(shù)據(jù)受損，可分別于企業(yè)網(wǎng)絡(luò)、Web服務(wù)器以及互聯(lián)網(wǎng)、Web服務(wù)器之間同時(shí)安裝2個(gè)防火墻。在這種情況下，企業(yè)網(wǎng)絡(luò)與Web服務(wù)器、互聯(lián)網(wǎng)與web服務(wù)器之間的信息交換安全性水平均發(fā)生有效提升。第二，路由器技術(shù)。路由器的轉(zhuǎn)發(fā)IP數(shù)據(jù)包（Internet狀態(tài)下）功能可有Windows2000服務(wù)器中內(nèi)置的路由特性來(lái)替代。在實(shí)際的數(shù)據(jù)庫(kù)運(yùn)用過(guò)程中，可將該技術(shù)與其他安全技術(shù)聯(lián)合使用。第三，代理服務(wù)器技術(shù)。從本質(zhì)角度來(lái)講，這種安全策略的作用機(jī)制為建立第三方中轉(zhuǎn)模式。傳統(tǒng)模式下，用戶(hù)通過(guò)應(yīng)用程序服務(wù)器連接SQL Server，應(yīng)用代理服務(wù)器技術(shù)后，代理服務(wù)器將替代應(yīng)用程序服務(wù)器的功能，幫助用戶(hù)實(shí)現(xiàn)對(duì)SQL Server的連接。由于這種信息栓術(shù)過(guò)程并不涉及應(yīng)用程序服務(wù)器，因此敏感數(shù)據(jù)損害數(shù)據(jù)庫(kù)的幾率將大大降低。

3 結(jié)語(yǔ)

通過(guò)上述分析可知，安全性是用戶(hù)對(duì)SQL Server數(shù)據(jù)庫(kù)應(yīng)用程序數(shù)據(jù)庫(kù)提出的重點(diǎn)要求。為了保障數(shù)據(jù)庫(kù)中數(shù)據(jù)信息的安全，可在數(shù)據(jù)庫(kù)安全管理中引入代理服務(wù)器技術(shù)、安裝防火墻技術(shù)、修改應(yīng)用服務(wù)器IP端口技術(shù)及路由器技術(shù)，以此對(duì)用戶(hù)查詢(xún)、修改信息等操作進(jìn)行調(diào)整，有效防止非法用戶(hù)越權(quán)盜取數(shù)據(jù)庫(kù)中的信息。

參考文獻(xiàn)

[1]徐小亞，李君芳.數(shù)據(jù)庫(kù)設(shè)計(jì)對(duì)SQL Server數(shù)據(jù)庫(kù)性能優(yōu)化分析[J].信息與電腦（理論版），2017，（02）：177-179+185.

[2]李瓊.淺談SQL Server數(shù)據(jù)庫(kù)應(yīng)用程序中數(shù)據(jù)庫(kù)的安全性[J].電腦知識(shí)與技術(shù)，2017，13（07）：13-14.endprint