【正文】 21 SQL Server安全特性 ?利用了 Windows操作系統(tǒng)的集成安全性； ?基于角色的服務器、數(shù)據(jù)庫和應用程序配置安全性； ?集成的安全性審核工具可以跟蹤 18個不同的安全事件及其子事件； ?文件和網(wǎng)絡加密支持，包括 SSL、 Kerberos及委托； ?SQL Server 2021通過 C2級安全性認證； 主要安全問題 ?嚴重的安全漏洞 ? 拒絕服務漏洞 ? UDP緩沖區(qū)溢出漏洞 ?SQL Slammer蠕蟲 ?默認的 sa空口令 ?“ 明文 ” 傳輸問題 ?數(shù)據(jù)庫應用中存在的 SQL Injection SQL Server安全管理要點 ?賬號 ?資源 ?系統(tǒng) ?審核及日志 ?數(shù)據(jù)庫應用 帳號管理 ?檢查數(shù)據(jù)庫賬號 ?檢查無用的數(shù)據(jù)庫賬號 ?檢查弱口令賬號 口令檢查 ?本地賬號檢查 ? 檢查空口令賬戶： Select name from syslogins where password is null ? 腳本 : ?密碼破解工具 ? ? ? ASI產(chǎn)品 ? 其他漏洞掃描工具 口令傳輸弱加密問題 ?登錄密碼在網(wǎng)絡中傳輸是 “ 加密 ” 的 ?事實上： ? 加密是 “ 弱 ” 的 ? 基本等同于明文傳輸 ?密碼嗅探工具 ? 數(shù)據(jù)庫資源管理 ?檢查數(shù)據(jù)庫安裝目錄的文件安全性 ?檢查數(shù)據(jù)庫文件的安全性 系統(tǒng)配置管理 ?補丁安裝 ?安全層次和身份驗證模式 ?數(shù)據(jù)庫的網(wǎng)絡配置 ?擴展存儲過程檢查 數(shù)據(jù)庫補丁 ?察看數(shù)據(jù)庫版本 ? 執(zhí)行 xp_msver ?最新版本 ? SQL Server2021： ? SQL Server 2021： ? SQL Server ： ?在 SQL Server安裝 SP3補丁時，必須在系統(tǒng)中已經(jīng)安裝了 SP1或 SP2。 ?1973年加州大學伯克利分校的 Michael Stonebraker和Eugene Wong利用 System R已發(fā)布的信息開始開發(fā)自己的關系數(shù)據(jù)庫系統(tǒng) Ingres。 數(shù)據(jù)庫基礎 ? 數(shù)據(jù)庫是按照數(shù)據(jù)結構來組織、存儲和管理數(shù)據(jù)的倉庫。 ? 混合模式（ Windows身份驗證和 SQL Server 身份驗證） ? 混合模式使用戶得以使用 Windows 身份驗證或 SQL Server 身份驗證與 SQL Server 實例連接。C:\Program Files\Microsoft SQL Server\MSSQL\Binn\39。 ? 如果 LIMIT為 NULL，建議修改失敗的登錄嘗試 ?ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 3。 39。 ?更改用戶口令 ? alter user 用戶名 identified by 新口令 推薦站點 ?? ? ? 內(nèi)容提要 ?數(shù)據(jù)庫概述 ?數(shù)據(jù)庫安全概述 ?數(shù)據(jù)庫安全技術 ?典型數(shù)據(jù)庫安全 ? SQL Server數(shù)據(jù)庫安全 ? Oracle數(shù)據(jù)庫安全 ?SQL Injection安全問題 SQL Injection ?漏洞原理：在數(shù)據(jù)庫應用的編程過程中 ， 由于程序員沒有對用戶輸入數(shù)據(jù)進行規(guī)范檢查 ， 導致攻擊者能夠通過構造惡意輸入數(shù)據(jù) ， 操作數(shù)據(jù)庫執(zhí)行 ， 甚至能直接攻擊操作系統(tǒng) ?SQL Injection（ SQL注入 ） ， 就是利用某些數(shù)據(jù)庫的外部應用把特定的數(shù)據(jù)命令插入到實際的數(shù)據(jù)庫操作語言當中 ， 從而達到入侵數(shù)據(jù)庫乃至操作系統(tǒng)的目的 。PASSWORD_VERIFY_FUNCTION 39。xp_cmdshell39。 數(shù)據(jù)庫的安全性 ?與系統(tǒng)緊密相關但更難正確配置和保護 ?一些安全漏洞不僅威脅數(shù)據(jù)庫的安全，也威脅到操作系統(tǒng)和其他可信任的系統(tǒng) ?對數(shù)據(jù)庫的安全重視程度遠比不上對待操作系統(tǒng)和網(wǎng)絡 數(shù)據(jù)庫面臨的安全威脅 ?凡是對數(shù)據(jù)庫內(nèi)數(shù)據(jù)的非授權訪問（如讀取）或非授權寫入（修改、刪除、增加等）都對數(shù)據(jù)庫造成了威脅和破壞 ?在正常需要期間，造成授權用戶不能得到數(shù)據(jù)庫服務時也對數(shù)據(jù)庫造成了威脅和破壞 數(shù)據(jù)庫的安全威脅形式 ?黑客正在關注數(shù)據(jù)庫安全 ?蠕蟲和病毒開始針對數(shù)據(jù)庫系統(tǒng) ?數(shù)據(jù)庫開發(fā)和應用存在大量的安全問題 ?默認口令和配置在數(shù)據(jù)庫中大量存在 ?增長的業(yè)務應用發(fā)展 典型數(shù)據(jù)庫應用與攻擊 ?典型數(shù)據(jù)庫應用與攻擊 應用服務器 中間件 數(shù)據(jù)庫服務器 Inter等 應 用 網(wǎng)絡 Attack 數(shù)據(jù)庫的安全要求 ?數(shù)據(jù)完整性、可用性、機密性 ?可審計性 ?用戶認證 ?訪問控制 數(shù)據(jù)庫的安全需求 ?對操作系統(tǒng)的安全需求 ? 防止對 DBMS的非法訪問和修改 ? 保護存儲的數(shù)據(jù)、文件的安