【正文】 21 SQL Server安全特性 ?利用了 Windows操作系統(tǒng)的集成安全性； ?基于角色的服務(wù)器、數(shù)據(jù)庫和應(yīng)用程序配置安全性； ?集成的安全性審核工具可以跟蹤 18個(gè)不同的安全事件及其子事件； ?文件和網(wǎng)絡(luò)加密支持，包括 SSL、 Kerberos及委托； ?SQL Server 2021通過 C2級(jí)安全性認(rèn)證； 主要安全問題 ?嚴(yán)重的安全漏洞 ? 拒絕服務(wù)漏洞 ? UDP緩沖區(qū)溢出漏洞 ?SQL Slammer蠕蟲 ?默認(rèn)的 sa空口令 ?“ 明文 ” 傳輸問題 ?數(shù)據(jù)庫應(yīng)用中存在的 SQL Injection SQL Server安全管理要點(diǎn) ?賬號(hào) ?資源 ?系統(tǒng) ?審核及日志 ?數(shù)據(jù)庫應(yīng)用 帳號(hào)管理 ?檢查數(shù)據(jù)庫賬號(hào) ?檢查無用的數(shù)據(jù)庫賬號(hào) ?檢查弱口令賬號(hào) 口令檢查 ?本地賬號(hào)檢查 ? 檢查空口令賬戶： Select name from syslogins where password is null ? 腳本 : ?密碼破解工具 ? ? ? ASI產(chǎn)品 ? 其他漏洞掃描工具 口令傳輸弱加密問題 ?登錄密碼在網(wǎng)絡(luò)中傳輸是 “ 加密 ” 的 ?事實(shí)上： ? 加密是 “ 弱 ” 的 ? 基本等同于明文傳輸 ?密碼嗅探工具 ? 數(shù)據(jù)庫資源管理 ?檢查數(shù)據(jù)庫安裝目錄的文件安全性 ?檢查數(shù)據(jù)庫文件的安全性 系統(tǒng)配置管理 ?補(bǔ)丁安裝 ?安全層次和身份驗(yàn)證模式 ?數(shù)據(jù)庫的網(wǎng)絡(luò)配置 ?擴(kuò)展存儲(chǔ)過程檢查 數(shù)據(jù)庫補(bǔ)丁 ?察看數(shù)據(jù)庫版本 ? 執(zhí)行 xp_msver ?最新版本 ? SQL Server2021： ? SQL Server 2021： ? SQL Server ： ?在 SQL Server安裝 SP3補(bǔ)丁時(shí)，必須在系統(tǒng)中已經(jīng)安裝了 SP1或 SP2。 ?1973年加州大學(xué)伯克利分校的 Michael Stonebraker和Eugene Wong利用 System R已發(fā)布的信息開始開發(fā)自己的關(guān)系數(shù)據(jù)庫系統(tǒng) Ingres。 數(shù)據(jù)庫基礎(chǔ) ? 數(shù)據(jù)庫是按照數(shù)據(jù)結(jié)構(gòu)來組織、存儲(chǔ)和管理數(shù)據(jù)的倉庫。 ? 混合模式（ Windows身份驗(yàn)證和 SQL Server 身份驗(yàn)證） ? 混合模式使用戶得以使用 Windows 身份驗(yàn)證或 SQL Server 身份驗(yàn)證與 SQL Server 實(shí)例連接。C:\Program Files\Microsoft SQL Server\MSSQL\Binn\39。 ? 如果 LIMIT為 NULL，建議修改失敗的登錄嘗試 ?ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 3。 39。 ?更改用戶口令 ? alter user 用戶名 identified by 新口令 推薦站點(diǎn) ?? ? ? 內(nèi)容提要 ?數(shù)據(jù)庫概述 ?數(shù)據(jù)庫安全概述 ?數(shù)據(jù)庫安全技術(shù) ?典型數(shù)據(jù)庫安全 ? SQL Server數(shù)據(jù)庫安全 ? Oracle數(shù)據(jù)庫安全 ?SQL Injection安全問題 SQL Injection ?漏洞原理：在數(shù)據(jù)庫應(yīng)用的編程過程中 ， 由于程序員沒有對(duì)用戶輸入數(shù)據(jù)進(jìn)行規(guī)范檢查 ， 導(dǎo)致攻擊者能夠通過構(gòu)造惡意輸入數(shù)據(jù) ， 操作數(shù)據(jù)庫執(zhí)行 ， 甚至能直接攻擊操作系統(tǒng) ?SQL Injection（ SQL注入 ） ， 就是利用某些數(shù)據(jù)庫的外部應(yīng)用把特定的數(shù)據(jù)命令插入到實(shí)際的數(shù)據(jù)庫操作語言當(dāng)中 ， 從而達(dá)到入侵?jǐn)?shù)據(jù)庫乃至操作系統(tǒng)的目的 。PASSWORD_VERIFY_FUNCTION 39。xp_cmdshell39。 數(shù)據(jù)庫的安全性 ?與系統(tǒng)緊密相關(guān)但更難正確配置和保護(hù) ?一些安全漏洞不僅威脅數(shù)據(jù)庫的安全，也威脅到操作系統(tǒng)和其他可信任的系統(tǒng) ?對(duì)數(shù)據(jù)庫的安全重視程度遠(yuǎn)比不上對(duì)待操作系統(tǒng)和網(wǎng)絡(luò) 數(shù)據(jù)庫面臨的安全威脅 ?凡是對(duì)數(shù)據(jù)庫內(nèi)數(shù)據(jù)的非授權(quán)訪問（如讀?。┗蚍鞘跈?quán)寫入（修改、刪除、增加等）都對(duì)數(shù)據(jù)庫造成了威脅和破壞 ?在正常需要期間，造成授權(quán)用戶不能得到數(shù)據(jù)庫服務(wù)時(shí)也對(duì)數(shù)據(jù)庫造成了威脅和破壞 數(shù)據(jù)庫的安全威脅形式 ?黑客正在關(guān)注數(shù)據(jù)庫安全 ?蠕蟲和病毒開始針對(duì)數(shù)據(jù)庫系統(tǒng) ?數(shù)據(jù)庫開發(fā)和應(yīng)用存在大量的安全問題 ?默認(rèn)口令和配置在數(shù)據(jù)庫中大量存在 ?增長(zhǎng)的業(yè)務(wù)應(yīng)用發(fā)展 典型數(shù)據(jù)庫應(yīng)用與攻擊 ?典型數(shù)據(jù)庫應(yīng)用與攻擊 應(yīng)用服務(wù)器 中間件 數(shù)據(jù)庫服務(wù)器 Inter等 應(yīng) 用 網(wǎng)絡(luò) Attack 數(shù)據(jù)庫的安全要求 ?數(shù)據(jù)完整性、可用性、機(jī)密性 ?可審計(jì)性 ?用戶認(rèn)證 ?訪問控制 數(shù)據(jù)庫的安全需求 ?對(duì)操作系統(tǒng)的安全需求 ? 防止對(duì) DBMS的非法訪問和修改 ? 保護(hù)存儲(chǔ)的數(shù)據(jù)、文件的安