【正文】 格式寫錯。例如把covert字句中的類型定義寫成了密碼列的新定義varbinary,把解密鍵的內(nèi)容寫成mima，導致無法解密。密文轉(zhuǎn)換其實不難，關(guān)鍵在于理解如何正確使用密鑰給對應列加密，還有利用對應的轉(zhuǎn)換函數(shù)。透明數(shù)據(jù)加密（SQL Server 2008的特色加密） 透明數(shù)據(jù)加密(簡稱TDE) 可對數(shù)據(jù)和日志文件執(zhí)行實時 I/O 加密和解密。這種加密使用數(shù)據(jù)庫加密密鑰 (DEK)，該密鑰存儲在數(shù)據(jù)庫啟動記錄中以供恢復時使用。DEK 是使用存儲在服務器的 master 數(shù)據(jù)庫中的證書保護的對稱密鑰，或者是由 EKM 模塊保護的非對稱密鑰。TDE 保護“處于休眠狀態(tài)”的數(shù)據(jù)，即數(shù)據(jù)和日志文件。它提供了遵從許多法律、法規(guī)和各個行業(yè)建立的準則的能力。軟件開發(fā)人員籍此可以使用 AES 和 3DES 加密算法來加密數(shù)據(jù)，且無需更改現(xiàn)有的應用程序。數(shù)據(jù)庫文件的加密在頁級執(zhí)行。已加密數(shù)據(jù)庫中的頁在寫入磁盤之前會進行加密，在讀入內(nèi)存時會進行解密。TDE 不會增加已加密數(shù)據(jù)庫的大小。值得注意的是，啟用 TDE 時，應該立即備份證書和與證書相關(guān)聯(lián)的私鑰。如果證書變?yōu)椴豢捎?，或者如果必須在另一臺服務器上還原或附加數(shù)據(jù)庫，則必須同時具有證書和私鑰的備份，否則將無法打開該數(shù)據(jù)庫。即使不再對數(shù)據(jù)庫啟用 TDE，也應該保留加密證書或非對稱密鑰。即使數(shù)據(jù)庫沒有加密，數(shù)據(jù)庫加密密鑰可能也保留在數(shù)據(jù)庫中，執(zhí)行某些操作時可能需要訪問這些加密密鑰。使用透明數(shù)據(jù)加密：若要使用 TDE，請按以下步驟操作。 創(chuàng)建主密鑰 創(chuàng)建或獲取由主密鑰保護的證書 創(chuàng)建數(shù)據(jù)庫加密密鑰并通過此證書保護該密鑰 將數(shù)據(jù)庫設置為使用加密審計功能把用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計日志（audit log）。除了登錄/登出和權(quán)限更改的標準審計外，SQL Server 2008允許監(jiān)控數(shù)據(jù)的更改或訪問。通過DDL創(chuàng)建和管理審計，同時通過提供更全面的數(shù)據(jù)審計來簡化遵從性。在SQL Server 2008中配置審計功能，根據(jù)下列步驟： 創(chuàng)建SQL Server審計use master gocreate server audit a1 to file(filepath=39。d:\數(shù)據(jù)庫實驗39。,maxsize=10MB) 執(zhí)行結(jié)果：命令成功執(zhí)行。當然也可以從企業(yè)管理器的可視化窗口操作：此外，審計必須在master數(shù)據(jù)庫中創(chuàng)建。這是因為審計和SQL Server實例相關(guān)聯(lián)的并且作為一個整體，故不能單獨在一個用戶數(shù)據(jù)庫中創(chuàng)建審計。如圖： 另外，審核目標不僅能指定FILE路徑，還能設置為輸出安全日志和應用程序日志。例如：創(chuàng)建一個審計，輸出應用程序日志，隊列延遲為2000毫秒。create server audit a2 to application_log with (queue_delay=2000)　　 創(chuàng)建服務器審計規(guī)范服務器審計規(guī)范是與一個特定的SQL Server審計相關(guān)的一個或多個服務器級別的審計活動組的集合。一個活動組是與數(shù)據(jù)庫引擎所暴露出來的相關(guān)事件的一個集合。創(chuàng)建一個服務器審計規(guī)范，也是需要從master數(shù)據(jù)庫運行。use master gocreate server audit specification sp1 規(guī)范名稱for server audit a1 與規(guī)范關(guān)聯(lián)的審計add(successful_login_group),審計活動組add(failed_login_group)with(state=on) 啟用規(guī)范執(zhí)行結(jié)果：命令執(zhí)行成功。不同于服務器審核規(guī)范，數(shù)據(jù)庫審計規(guī)范是具體到一個數(shù)據(jù)庫。然而，像一個服務器審核規(guī)范，您可以添加審計活動組 但它們是特定于數(shù)據(jù)庫。此外，可以為數(shù)據(jù)庫審計規(guī)范添加單獨審計活動。審計活動是發(fā)生在數(shù)據(jù)庫里的一項具體活動，比如刪除數(shù)據(jù)或運行一個存儲過程。創(chuàng)建數(shù)據(jù)庫審計規(guī)范：use [實驗四安全性]gocreate database audit specification db_sp1 數(shù)據(jù)庫審計規(guī)范for server audit a1 與規(guī)范相關(guān)的審計add(database_object_change_group),審計活動組add(select,insert on schema::dbo by dbo)dbo架構(gòu)和dbo用戶with(state=on)執(zhí)行結(jié)果：命令成功執(zhí)行。 啟用SQL Server審計功能use master goalter server audit a1 with(state=on)執(zhí)行結(jié)果：命令成功執(zhí)行。執(zhí)行這個語句后，SQL Server將開始審計指定的事件。 查看審計記錄利用企業(yè)管理器中的日志文件查看器來查看審計數(shù)據(jù)。如圖：在安全性找到審計a1,然后查看審計日志。 實驗總結(jié)本次安全性實驗遇到的問題比較多，接觸的知識面也比較廣。首先是用戶權(quán)限和角色機制，剛開始極容易被這幾個概念混淆，通過上機實踐理清了他們的關(guān)系脈絡，了解到一個用戶對應一個登錄，一些用戶可以歸類為一個角色。數(shù)據(jù)庫用戶和數(shù)據(jù)庫角色持有架構(gòu)。可見角色機制是相當便利的，直接給予角色特定權(quán)限，避免了對多個單用戶授權(quán)帶來的繁瑣。其次是視圖機制，視圖機制可以先屏蔽掉部分加密數(shù)據(jù)，然后在視圖上面再進一步定義存取權(quán)限，從而間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義。數(shù)據(jù)加密在生活中是必不可少的，畢竟現(xiàn)在信息流通發(fā)達，容易造成信息泄露。SQL Server2008的透明加密無疑是解決這個問題的好方法。審計功能也是數(shù)據(jù)庫的重要功能，相同于“攝像頭”，記錄下過去用戶對數(shù)據(jù)的所以操作，即便系統(tǒng)遭到入侵，信息失竊，也能根據(jù)“錄像”找出非法存取的數(shù)據(jù)的人、時間和內(nèi)容等。