李瓊

摘要；隨著信息技術(shù)的發(fā)展，數(shù)據(jù)安全問題也引起了人們的重視。而在SOL Server數(shù)據(jù)庫應(yīng)用的過程中，還應(yīng)從應(yīng)用程序角度對數(shù)據(jù)庫的安全性進行分析，以便尋求有效的安全保護策略。基于這種認(rèn)識，該文對sOL Server數(shù)據(jù)庫應(yīng)用程序中數(shù)據(jù)庫的安全性展開了分析，從而為關(guān)注這一話題的人們提供參考。

關(guān)鍵詞：SQL Server數(shù)據(jù)庫；應(yīng)用程序；數(shù)據(jù)庫；安全性

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：1009-3044（2017）07-0013-02

在當(dāng)今社會，數(shù)據(jù)庫得到了廣泛應(yīng)用。而隨著相關(guān)技術(shù)的發(fā)展，數(shù)據(jù)庫規(guī)模也在不斷增加。在眾多數(shù)據(jù)庫中，SQL Serv-er數(shù)據(jù)庫擁有較高的性能，能夠確保數(shù)據(jù)的完整性和一致性。而加強對SQL Server數(shù)據(jù)庫應(yīng)用程序中數(shù)據(jù)庫安全性的研究，則能為數(shù)據(jù)庫的數(shù)據(jù)安全提供更多保障，進而更好地進行該種數(shù)據(jù)庫的應(yīng)用。

1SQL Server數(shù)據(jù)庫及其安全策略

SQL Server數(shù)據(jù)庫為具有較高性能和外擴功能的數(shù)據(jù)庫系統(tǒng)，能夠進行Windows NT平臺的使用，并且擁有先進的管理方法，能夠為系統(tǒng)的本地設(shè)置和遠程訪問提供支持，同時也可以為圖形化管理工具提供支持。在數(shù)據(jù)完整的情況下，SQLServer數(shù)據(jù)庫能夠較好的完成數(shù)據(jù)處理，并為多對稱處理結(jié)構(gòu)和存儲過程提供支持。此外，SQL Server數(shù)據(jù)庫擁有靈活語言格式，能夠在工作人員和用戶的數(shù)據(jù)平臺上得到應(yīng)用。就目前來看，SQL Server數(shù)據(jù)庫主要采用了安全性訪問策略確保數(shù)據(jù)庫的安全性，即通過用戶訪問控制確保系統(tǒng)安全。而用戶訪問控制被劃分為兩個階段，即登錄賬戶認(rèn)證階段和訪問許可階段。采用第一種訪問控制策略，需要用戶使用身份認(rèn)證進行系統(tǒng)登錄，如果無法認(rèn)證成功則將無法進行服務(wù)器的連接。采用第二種訪問控制策略，是在用戶登錄后利用網(wǎng)絡(luò)連接進行Transact-SQL語句的發(fā)送，只有數(shù)據(jù)庫確認(rèn)用戶訪問許可后，用戶才能進行數(shù)據(jù)庫操作。

2 SQL Server數(shù)據(jù)庫應(yīng)用程序中數(shù)據(jù)庫的安全性

在用戶登入和獲得數(shù)據(jù)庫認(rèn)證許可后，還要在應(yīng)用程序中確保數(shù)據(jù)庫的安全性，才能確保系統(tǒng)的數(shù)據(jù)安全。

2.1角色客戶應(yīng)用程序中數(shù)據(jù)庫的安全性

利用角色管理客戶應(yīng)用程序，能夠利用特點應(yīng)用程序進行用戶訪問數(shù)據(jù)的限制，從而使用戶特定應(yīng)用程序的安全性得到保證。例如，在企業(yè)訂貨登記員進行訂貨登記應(yīng)用程序使用時，其才能完成表格數(shù)據(jù)的更新，如果其不使用該程序，就無法進行表格的訪問。針對這一情況，可以完成專門的應(yīng)用程序角色的制定，而該角色不包含成員，并且需要激活密碼。除了在Public角色的許可權(quán)限外，用戶賬戶及其所屬角色都無法得到應(yīng)用。如果用戶能夠進行當(dāng)前數(shù)據(jù)庫中所有應(yīng)用程序角色的繼承，則能獲得許可權(quán)限。

在具體進行角色客戶應(yīng)用程序應(yīng)用時，還要先完成應(yīng)用程序角色的創(chuàng)建。具體來講，就是進行系統(tǒng)存儲過程sp-addap-prole的執(zhí)行，然后進行新的應(yīng)用程序角色的創(chuàng)建。在這一過程中，用戶需要在當(dāng)前數(shù)據(jù)庫的系統(tǒng)表sysusers中完成新行的插入，從而完成角色安全賬戶的創(chuàng)建。在對程序角色進行激活時，還要利用[PaSSword]完成密碼的設(shè)置，然后通過執(zhí)行re-yoke和Grant等語句進行角色許可權(quán)限的設(shè)置。在對應(yīng)用程序角色進行激活時，還應(yīng)進行系統(tǒng)存儲過程sp-setapprole的執(zhí)行。具體來講，就是利用Transact-SQL語句進行執(zhí)行，而不是在其他自定義事務(wù)或存儲過程中進行激活。在這一過程中，用戶需要進行應(yīng)用程序驗證密碼的提供，并且利用ODBC規(guī)范函數(shù)將密碼轉(zhuǎn)換為字符串，以實現(xiàn)加密處理。在密碼管理上，還應(yīng)進行sp-addapproh的執(zhí)行，并進行應(yīng)用程序角色的刪除和程序角色密碼的更改，進而使密碼管理得當(dāng)進一步加強。

2.2網(wǎng)絡(luò)連接程序中數(shù)據(jù)庫的安全性

在應(yīng)用數(shù)據(jù)庫的過程中，往往需要將數(shù)據(jù)庫連接到網(wǎng)絡(luò)上實現(xiàn)信息貢獻。但是，網(wǎng)絡(luò)存在的不安全因素較多，所以將給數(shù)據(jù)庫應(yīng)用程序中的數(shù)據(jù)庫安全帶來較大威脅。針對這一情況，還要采用一定的措施為網(wǎng)絡(luò)連接程序的應(yīng)用提供安全保障。

首先，可以通過設(shè)置路由器、代理服務(wù)器和安裝防火墻為數(shù)據(jù)庫的安全提供保障。通過設(shè)置路由器，則能夠加強網(wǎng)絡(luò)間數(shù)據(jù)包的轉(zhuǎn)發(fā)控制，從而為數(shù)據(jù)進出提供安全保障。而通過使用代理服務(wù)器進行網(wǎng)絡(luò)連接，則能使用戶進出網(wǎng)絡(luò)的訪問得到安全保證，并且阻止未授權(quán)用戶進入局域網(wǎng)。同時，采用該種方式也能對全部許可權(quán)限進行控制，并對所有端口訪問進行鑒定，因此能夠使敏感數(shù)據(jù)的安全性得到保證。而安裝防火墻則能完成來自網(wǎng)絡(luò)的信息流量的有效檢驗、鑒定和過濾，能夠阻止黑客和不良信息進入數(shù)據(jù)庫系統(tǒng)。就目前來看，安裝防火墻是最有效的用戶攻擊防御方法，能夠完成用戶與網(wǎng)絡(luò)間全部通信的分析。而想要使數(shù)據(jù)庫的安全性得到保證，可以使用Web服務(wù)器和網(wǎng)絡(luò)與企業(yè)兩個防火墻。

其次，在網(wǎng)絡(luò)數(shù)據(jù)交換的過程中，可以使用Tabular DataStream協(xié)議完成數(shù)據(jù)的在線加密保護，從而使數(shù)據(jù)通信的安全性得到保證。一方面，在進行計算機IPsec安全策略配置時，可以利用定義規(guī)則和篩選集合的方式，從而完成指定客戶間安全通信的有效控制。另一方面，針對客戶端計算機，可以利用安全套接字層進行加密控制。

最后，可以通過完成服務(wù)器TCP/IP配置確保數(shù)據(jù)庫的安全性。具體來講，就是在連接到網(wǎng)絡(luò)時，做好數(shù)據(jù)庫服務(wù)器TCP/IP的配置，從而使服務(wù)器外的IP無法實現(xiàn)商品連接。采用該種方法，實際是對SQL Server實例進行隱藏。想要達成這一目標(biāo)，還要限制訪問應(yīng)用程序服務(wù)器IP，利用Windows進行網(wǎng)絡(luò)連接安全機制的提供，以確保只有系統(tǒng)用戶才能進行數(shù)據(jù)庫端口連接，繼而減少來自網(wǎng)絡(luò)的安全威脅。此外，還可以進行TCP/IP端口的修改，從而使SQLServer得到隱藏。而考慮到使用1434端口的UDP較容易進行TCP/IP端口的檢測，所以還應(yīng)利用IPsec協(xié)議完成該種通訊的過濾，并且選擇網(wǎng)絡(luò)配置中的協(xié)議屬性作為實例屬性，進而使用默認(rèn)端口完成SQL Server的隱藏。

2.3視圖訪問應(yīng)用程序中數(shù)據(jù)庫的安全性

在SQL Server數(shù)據(jù)庫中，可以利用視圖完成數(shù)據(jù)的查詢和修改，所以還應(yīng)加強視圖訪問應(yīng)用程序中的數(shù)據(jù)安全管理。而視圖是由行和列構(gòu)成，是虛擬的數(shù)據(jù)結(jié)果集，類似真實的數(shù)據(jù)庫表，可以從表和視圖本身獲得數(shù)據(jù)。這些數(shù)據(jù)既可以從一個數(shù)據(jù)庫中獲得，也可以從多個數(shù)據(jù)庫中獲得。想要確保視圖訪問的安全性，還應(yīng)使用戶僅能完成需要查看的數(shù)據(jù)的查詢。而無法對其他數(shù)據(jù)行和列進行訪問，數(shù)據(jù)庫的安全性則能得到保證。具體來講，就是給予用戶視圖許可權(quán)限，但不給予用戶表許可權(quán)限。采用該種方法，用戶無法進行視圖引用基表的訪問，但是能夠查看其中含有的數(shù)據(jù)信息。而針對不同的用戶，則要給予不同的視圖權(quán)限，從而使不同用戶完成不同結(jié)果集的查詢，進而使行級或列級的數(shù)據(jù)安全得到保證。在數(shù)據(jù)存儲的過程中，則可以給予用戶執(zhí)行存儲的權(quán)限確保數(shù)據(jù)庫的安全性。利用該權(quán)限，用戶即便無法進行表和視圖的訪問，也可以完成相應(yīng)數(shù)據(jù)的查詢。

3結(jié)論

通過研究可以發(fā)現(xiàn)，在數(shù)據(jù)庫應(yīng)用程序中，想要使數(shù)據(jù)庫的安全性得到保證，還要從角色管理客戶應(yīng)用程序、網(wǎng)絡(luò)連接應(yīng)用程序和視圖訪問應(yīng)用程序幾方面為數(shù)據(jù)庫提供安全保護。通過采取相應(yīng)的安全策略，則能為數(shù)據(jù)庫的管理提供科學(xué)方法，進而使數(shù)據(jù)查詢、存儲和修改過程更加安全。