淺談SQL Server數(shù)據(jù)庫(kù)應(yīng)用時(shí)的安全措施

陳素芳

（晉城開放大學(xué)，山西 晉城 048000）

0 引言

在人們的日常生活中，計(jì)算機(jī)的使用愈加頻繁，數(shù)據(jù)庫(kù)作為計(jì)算機(jī)中不可或缺的一個(gè)重要組成部分，能夠讓網(wǎng)絡(luò)運(yùn)行過程中的后臺(tái)存儲(chǔ)空間得到進(jìn)一步的擴(kuò)大。但需要注意的是，相應(yīng)數(shù)據(jù)庫(kù)的使用雖然能夠給人們的日常生活帶來便利，其依舊無法得到解決的安全問題，也很可能會(huì)讓人民群眾的個(gè)人隱私信息受到侵害。要想讓數(shù)據(jù)庫(kù)能夠安全的進(jìn)行使用，相關(guān)研究人員就須采取必要的措施來保障日常數(shù)據(jù)庫(kù)的正常運(yùn)行。

1 數(shù)據(jù)庫(kù)安全概述

想要對(duì)SQL Server數(shù)據(jù)庫(kù)的應(yīng)用安全措施進(jìn)行深入的探討與研究，首先要對(duì)數(shù)據(jù)庫(kù)安全這一概念有一個(gè)全面的認(rèn)知。所謂數(shù)據(jù)庫(kù)安全，指的是在數(shù)據(jù)庫(kù)使用中，其相關(guān)信息擁有一定的一致性，完整性，可用性和保密性。所謂的信息一致性，指的是數(shù)據(jù)庫(kù)中的信息與實(shí)際信息高度一致，不存在信息傳輸過程中的信息走樣和信息虛假的現(xiàn)象。所謂的信息完整性，指的是數(shù)據(jù)庫(kù)在進(jìn)行某樣信息抓取的過程中，數(shù)據(jù)庫(kù)所獲得的信息與實(shí)際的信息完全相同，并不存在斷章取義或局部抓取等現(xiàn)象。所謂的信息可用性，指的是數(shù)據(jù)庫(kù)中所抓取的所有信息都有較大的用途，用戶在進(jìn)行該信息的獲取時(shí)，能夠通過該信息達(dá)到一定的目標(biāo)或使用效果，數(shù)據(jù)庫(kù)中不存在無效信息。而信息保密性，指的是用戶在數(shù)據(jù)庫(kù)中所留下的個(gè)人信息與用戶在進(jìn)行信息查詢收集過程中所留下的信息查詢痕跡是保密的，第三方無法通過非法手段進(jìn)行相應(yīng)個(gè)人信息和信息查詢痕跡的獲取。需要注意的是，數(shù)據(jù)庫(kù)安全與數(shù)據(jù)庫(kù)管理系統(tǒng)有十分密切的聯(lián)系，倘若數(shù)據(jù)庫(kù)管理系統(tǒng)出現(xiàn)問題，那么數(shù)據(jù)安全就無法得到充分的保障，當(dāng)然數(shù)據(jù)安全除了與數(shù)據(jù)庫(kù)管理系統(tǒng)有密切聯(lián)系之外，還與應(yīng)用程序以及進(jìn)行操作的網(wǎng)絡(luò)環(huán)境有十分密切的關(guān)聯(lián)，因此，研究者在對(duì)數(shù)據(jù)庫(kù)安全問題進(jìn)行分析與研究的過程中，除了要考慮到數(shù)據(jù)庫(kù)管理系統(tǒng)的建設(shè)使用規(guī)范之外，還需要對(duì)其他可能會(huì)對(duì)數(shù)據(jù)庫(kù)安全產(chǎn)生影響的因素進(jìn)行深入的研究與探討。

2 SQL Server數(shù)據(jù)庫(kù)的應(yīng)用安全問題分析

SQL Server數(shù)據(jù)庫(kù)在使用的過程中很可能會(huì)出現(xiàn)各類安全問題，下文將抽取最為典型的安全故障來進(jìn)行深入的研究與探討。

（1）磁盤信息被盜取。磁盤信息被盜取是SQL Server數(shù)據(jù)庫(kù)使用過程中很可能出現(xiàn)的一類安全問題，大多數(shù)被盜取的備份磁盤信息本身并未經(jīng)過加密，由于數(shù)據(jù)庫(kù)中的信息為經(jīng)過加密處理，因此在磁盤信息進(jìn)行儲(chǔ)存以及輸送的過程中就很容易成為黑客的入侵目標(biāo)，最終出現(xiàn)信息被竊取的現(xiàn)象。

（2）使用默認(rèn)用戶名或口令較弱。許多用戶在進(jìn)行SQL Server數(shù)據(jù)庫(kù)使用的過程中，都不會(huì)進(jìn)行用戶名的更改。而默認(rèn)用戶名本身的權(quán)限較廣，甚至其權(quán)限超出了administrator，在這種情況下，用戶的權(quán)限會(huì)被數(shù)據(jù)庫(kù)管理員進(jìn)行限制，而數(shù)據(jù)管理員可以在暢通無阻的情況下，完全操控用戶計(jì)算機(jī)內(nèi)的SQL Server數(shù)據(jù)庫(kù)。還有一些用戶雖然對(duì)默認(rèn)用戶名信息進(jìn)行了更改，但所更改的口令安全性較弱，因此，數(shù)據(jù)庫(kù)管理員仍然可以通過權(quán)限管制的方式，來進(jìn)行用戶SQL Server數(shù)據(jù)庫(kù)的使用。

（3）進(jìn)行注入攻擊。當(dāng)黑客要進(jìn)行SQL Server數(shù)據(jù)庫(kù)中信息的非法獲取時(shí)，通常情況下，都會(huì)使用注入攻擊的手段來進(jìn)行管理員權(quán)限的劫持，一旦其獲得了管理員權(quán)限，就能夠暢通無阻的進(jìn)入SQL Server數(shù)據(jù)庫(kù)。在其進(jìn)入到數(shù)據(jù)庫(kù)之后，就會(huì)通過對(duì)數(shù)據(jù)庫(kù)的控制來達(dá)到非法劫持信息數(shù)據(jù)的目的。

（4）尚未被使用的數(shù)據(jù)庫(kù)存在漏洞。在很多情況下，計(jì)算機(jī)中的SQL Server數(shù)據(jù)庫(kù)雖然已被開發(fā)但卻并未進(jìn)行使用。由于其沒能正常投入到使用過程當(dāng)中去，因此數(shù)據(jù)庫(kù)管理員不會(huì)對(duì)該數(shù)據(jù)庫(kù)進(jìn)行定期的修繕與維護(hù)，這就會(huì)使得許多尚未投入使用中的數(shù)據(jù)庫(kù)由于其服務(wù)本身存在漏洞，而導(dǎo)致被黑客攻擊的危險(xiǎn)性增加。

3 增加SQL Server數(shù)據(jù)庫(kù)使用安全性的措施分析

為了使得SQL Server數(shù)據(jù)庫(kù)在使用的過程中能夠更加安全，用戶不會(huì)由于其存在安全漏洞而導(dǎo)致自身的個(gè)人利益受到損害，研究者嘗試在 SQL Server使用過程中進(jìn)行安全措施的制定，通過一系列安全措施的使用，來提升SQL Server數(shù)據(jù)庫(kù)的穩(wěn)定性。

（1）進(jìn)行數(shù)據(jù)庫(kù)存儲(chǔ)安全的保障。在傳統(tǒng)模式下，用戶為了在使用SQL Server數(shù)據(jù)庫(kù)的過程中，盡最大可能進(jìn)行數(shù)據(jù)信息安全的保障，會(huì)在進(jìn)行數(shù)據(jù)存儲(chǔ)的過程中，避免進(jìn)行用戶修改表權(quán)限的設(shè)計(jì)，僅僅使用單一的數(shù)據(jù)存儲(chǔ)方式來進(jìn)行信息存儲(chǔ)，在信息存儲(chǔ)完畢后，用戶想要進(jìn)行相應(yīng)程序的應(yīng)用，不能通過訪問表的模式以及訪問視圖的模式來獲取信息，在這種過程中，用戶進(jìn)行存儲(chǔ)信息獲取的安全性就得到了較大的保障。只要用戶具有EXEC權(quán)限，便能夠通過數(shù)據(jù)關(guān)鍵字查詢的方式來進(jìn)行目的信息的獲取。但需要注意的是，上述操作模式只能在其查詢信息包含在用戶存儲(chǔ)信息中才能生效，為了方便查詢，用戶還必須要使用計(jì)算機(jī)語言，才能夠使得整個(gè)查詢工作順利進(jìn)行。為此，研究者開始嘗試進(jìn)行查詢模式的更改，爭(zhēng)取在保障數(shù)據(jù)存儲(chǔ)安全的同時(shí)，讓用戶的信息查詢能夠更加方便快捷。

（2）通過視圖進(jìn)行數(shù)據(jù)安全保障。用戶在進(jìn)行數(shù)據(jù)查詢的過程中，通常會(huì)使用虛擬表格獲取的方式來進(jìn)行信息的查詢。而視圖作為虛擬表格中較為重要的組成部分，能夠進(jìn)行大量信息的集中展示。實(shí)際上數(shù)據(jù)庫(kù)中所存儲(chǔ)的數(shù)據(jù)信息本身具有多樣性。因此用戶在進(jìn)行數(shù)據(jù)查詢的過程中，其數(shù)據(jù)所來源的數(shù)據(jù)庫(kù)可以是同一個(gè)，也可以是許多個(gè)。這與網(wǎng)絡(luò)技術(shù)的未來發(fā)展有密切關(guān)聯(lián)。而視圖的運(yùn)用，除了能夠讓用戶快速進(jìn)行數(shù)據(jù)查詢之外，還能夠在數(shù)據(jù)查詢的過程中進(jìn)行數(shù)據(jù)相應(yīng)信息的修改，但需要注意的是，通過視圖方式來進(jìn)行數(shù)據(jù)修改的方法，并不是隨意的，而與訪問者的權(quán)限有較大關(guān)系，如果權(quán)限級(jí)別不高，那么視圖修改的允許范圍也就不大，如果權(quán)限等級(jí)較高，那么訪問者便能夠?qū)ο鄳?yīng)數(shù)據(jù)進(jìn)行隨意修改。正因?yàn)槿绱?，研究者開始嘗試通過視圖權(quán)限的設(shè)定來對(duì)數(shù)據(jù)安全進(jìn)行保障。對(duì)于陌生訪問者，并不能給予過高的視圖信息使用權(quán)限，否則訪問者很可能會(huì)對(duì)關(guān)鍵信息進(jìn)行篡改，導(dǎo)致用戶的數(shù)據(jù)庫(kù)信息存儲(chǔ)出現(xiàn)故障。

（3）提升SQL Server數(shù)據(jù)庫(kù)的訪問安全性。相比較其他的數(shù)據(jù)庫(kù)而言，SQL Server數(shù)據(jù)庫(kù)的功能十分強(qiáng)大，并且操作較為簡(jiǎn)單，因此該類數(shù)據(jù)庫(kù)在日常企業(yè)的運(yùn)用中受到了極大的歡迎。需要注意的是，該數(shù)據(jù)庫(kù)能夠與Windows系統(tǒng)進(jìn)行有效的綁定。訪問者務(wù)必要擁有相應(yīng)的操作權(quán)限，才能夠進(jìn)行數(shù)據(jù)的讀取。相比較其他的數(shù)據(jù)庫(kù)而言，SQL Server數(shù)據(jù)庫(kù)的訪問者務(wù)必要有登錄賬戶和密碼才能夠確定其訪問權(quán)限。為了進(jìn)一步對(duì)其訪問安全性進(jìn)行提升，研究者將嘗試從其與Windows系統(tǒng)的綁定角度出發(fā)，來進(jìn)行混合訪問模式的設(shè)置。換句話說，想要進(jìn)行相應(yīng)數(shù)據(jù)庫(kù)登陸的訪問者，除了要擁有該數(shù)據(jù)庫(kù)的登錄賬戶和密碼之外，還需要擁有Windows系統(tǒng)的身份認(rèn)證才能夠進(jìn)入到相應(yīng)數(shù)據(jù)庫(kù)中進(jìn)行信息獲取。只有經(jīng)歷了兩重的身份認(rèn)證，訪問者才能夠順利的進(jìn)入SQL Server數(shù)據(jù)庫(kù)內(nèi)進(jìn)行數(shù)據(jù)獲取。這樣一來，該數(shù)據(jù)庫(kù)的訪問安全性能就得到了較大的提升。

4 結(jié)束語

總之，在日常生活中使用SQL Server數(shù)據(jù)庫(kù)是很有必要的，因此相關(guān)研究者務(wù)必要對(duì)該數(shù)據(jù)庫(kù)的使用安全性進(jìn)行進(jìn)一步的研究與改善。倘若該數(shù)據(jù)庫(kù)的日常使用安全性仍然無法得到改善，就會(huì)對(duì)日常使用者的信息存儲(chǔ)安全以及訪問安全造成十分嚴(yán)重的影響。這也會(huì)在一定程度上影響信息技術(shù)在日常生活中的進(jìn)一步使用。