【導(dǎo)讀】令人震驚的，建立完善的藥械監(jiān)測(cè)體系的重要性已經(jīng)成為世界范圍的共識(shí)。帶來(lái)傷害的不良事件。系統(tǒng)根據(jù)醫(yī)療機(jī)構(gòu)、計(jì)生站、藥品生產(chǎn)企業(yè)、藥。從而準(zhǔn)備實(shí)施XXXX等級(jí)保護(hù)安全集成項(xiàng)目工程。之一，是為整個(gè)XXXX等級(jí)保護(hù)安全集成提供信息安全保障。案編制工作，下一步進(jìn)行等級(jí)保護(hù)整改工作。心通過(guò)互聯(lián)網(wǎng)專線接入當(dāng)?shù)剡\(yùn)營(yíng)商互聯(lián)網(wǎng)組建XXXX系統(tǒng)的廣域網(wǎng)。數(shù)據(jù)高速、安全的交換。局域網(wǎng)包括國(guó)家中心局域網(wǎng)和各省分中心局域網(wǎng)。洞掃描服務(wù)器、IDS管理服務(wù)器；間采用IPSECVPN的方法通信?？蛇_(dá)性冗余，同時(shí)配合負(fù)載均衡設(shè)備保證最優(yōu)的路由選路。了區(qū)域界限，同時(shí)避免了二層廣播的發(fā)生。為了保證省分中心的。網(wǎng)絡(luò)安全性，采取防火墻，防毒網(wǎng)關(guān)等設(shè)備。測(cè)平臺(tái)服務(wù)器，網(wǎng)絡(luò)系統(tǒng)服務(wù)器。

　　

【正文】 、各個(gè)安全區(qū)域之間的連接鏈路和網(wǎng)絡(luò)設(shè)備構(gòu)成了網(wǎng)絡(luò)基礎(chǔ)設(shè)施；因此方案將從保護(hù)計(jì)算環(huán)境、保護(hù)邊界、保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施三個(gè)層面進(jìn)行設(shè)計(jì)，并通過(guò)統(tǒng)一的基礎(chǔ)支撐平臺(tái)（這里我們將采用安全信息管理平臺(tái)）來(lái)實(shí)現(xiàn)對(duì)基礎(chǔ)安全設(shè)施的集中管理，構(gòu)建分域的控 制體系。 構(gòu)建縱深的防御體系 針對(duì)信息系統(tǒng)的通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境，綜合采用訪問(wèn)控制、入侵檢測(cè)、惡意代碼法防范、安全審計(jì)、防病毒、傳輸加密、集中數(shù)據(jù)備份等多種技術(shù)和措施，實(shí)現(xiàn)應(yīng)用的可用性、完整性和保密性保護(hù)，并在此基礎(chǔ)上實(shí)現(xiàn)綜合集中的安全管理，并 充分考慮各種 技術(shù) 的組合 和功能的互補(bǔ)性，合理利用措施 ，從外到內(nèi)形成一個(gè)縱深的安全防御體系， 保障信息系統(tǒng)整體的安全保護(hù)能力。 保證一致的安全強(qiáng)度 采取強(qiáng)度一致的安全措施，并采取統(tǒng)一的防護(hù)策略，使各安全措施在作用和功能上相互補(bǔ)充，形成動(dòng)態(tài)的防護(hù)體系。 XXXX 等級(jí)保護(hù)安全集成建設(shè)項(xiàng)目 信息安全子系統(tǒng) 投標(biāo)文件 技術(shù)部分 169。 2020 北京天融信 科技 有限 公司 34 因此在建設(shè)手段 上，本方案采取“大平臺(tái)”的方式進(jìn)行建設(shè)，在平臺(tái)上實(shí)現(xiàn)各個(gè)信息系統(tǒng)的基本保護(hù)，比如統(tǒng)一的防病毒系統(tǒng)、統(tǒng)一的審計(jì)系統(tǒng)，然后在基本保護(hù)的基礎(chǔ)上，再根據(jù)各個(gè)信息系統(tǒng)的重要程度，采取高強(qiáng)度的保護(hù)措施。 實(shí)現(xiàn) 集中的安全管理 信息安全管理的目標(biāo)就是通過(guò)采取適當(dāng)?shù)目刂拼胧﹣?lái)保障信息的保密性、完整性、可用性，從而確保信息系統(tǒng)內(nèi)不發(fā)生安全事件、少發(fā)生安全事件、即使發(fā)生安全事件也能有效控制事件造成的影響。通過(guò) 建設(shè)集中的安全管理平臺(tái)，實(shí)現(xiàn)對(duì)信息資產(chǎn)、安全事件、安全風(fēng)險(xiǎn)、訪問(wèn)行為等的統(tǒng)一分析與監(jiān)管，通過(guò)關(guān)聯(lián)分析技術(shù)，使系統(tǒng)管理人員能 夠迅速發(fā)現(xiàn)問(wèn)題，定位問(wèn)題，有效應(yīng)對(duì)安全事件的發(fā)生。 國(guó)家中心局域網(wǎng) 信息安全子系統(tǒng)規(guī)劃拓?fù)鋱D XXXX 等級(jí)保護(hù)安全集成建設(shè)項(xiàng)目 信息安全子系統(tǒng) 投標(biāo)文件 技術(shù)部分 169。 2020 北京天融信 科技 有限 公司 35 XXXX 等級(jí)保護(hù)安全集成建設(shè)項(xiàng)目 信息安全子系統(tǒng) 投標(biāo)文件 技術(shù)部分 169。 2020 安徽沐誠(chéng) 36 信息安全子系統(tǒng)安全設(shè)計(jì)概述 我們基于 IATF(Information Assurance Technical Framework 信息保障技術(shù)框架 ） 安全架構(gòu)，并遵循 ISO27001 標(biāo)準(zhǔn) (BS7799 信息安全管理體系規(guī)范 )、國(guó)家信息安全等級(jí)保護(hù)制度 等國(guó)際國(guó)內(nèi)規(guī)范，提出 適合 XXXX 等級(jí)保護(hù)安全集成建設(shè)項(xiàng)目 建設(shè) 的安全體系結(jié)構(gòu)模型 ， 設(shè)計(jì)了一套由多層 動(dòng)態(tài) 防護(hù)措施構(gòu)成的整體安全防護(hù)體系。其中主要安全機(jī)制的部署如下： 在國(guó)家中心局域網(wǎng)主要采取安全如下： 國(guó)家中心局域網(wǎng)分為內(nèi)網(wǎng)和互聯(lián)網(wǎng)接入兩個(gè)部分，內(nèi)網(wǎng)和互聯(lián)網(wǎng)接入采用防火墻隔離，在互聯(lián)網(wǎng)接入與 ISP 之間采用防火墻隔離，這兩層防火墻都采用冗余方式部署，而且采用非同一家廠商產(chǎn)品。 安全域劃分：在互聯(lián)網(wǎng)接入劃分為公網(wǎng)接入?yún)^(qū)、辦公區(qū)、辦公管理系統(tǒng)服務(wù)區(qū)、 DMZ 應(yīng)用服務(wù)器區(qū)、外接單位接入?yún)^(qū)。 公務(wù)接入?yún)^(qū)采用采用抗 DDOS 攻擊設(shè)備、防火墻、防病毒網(wǎng)關(guān)、負(fù)載均衡等措施，并在核心交換區(qū)部署了入侵檢測(cè)系統(tǒng)（ IDS），保障互聯(lián)網(wǎng)接入的安全性。 在辦公區(qū)客戶端部署終端安全管理軟件和防病毒軟件， 實(shí)現(xiàn)客戶端準(zhǔn)入控制和防病毒功能。 在辦公管理系統(tǒng)服務(wù)器通過(guò)在防火墻部署安全訪問(wèn)控制策略保障對(duì)服務(wù)器的非授權(quán)訪問(wèn)。 在 DMZ 區(qū)域部署除通過(guò)防火墻部署訪問(wèn)控制策略外，還部署了 IDS和網(wǎng)頁(yè)防篡改措施，保障對(duì)外部提供 安全可靠的應(yīng)用訪問(wèn)，結(jié)合公網(wǎng)接入?yún)^(qū)防火墻上的 VPN 功能，實(shí)現(xiàn)了數(shù)據(jù)傳輸完整性和機(jī)密性。 在 SOC 區(qū)域部署兩臺(tái)防火墻實(shí)現(xiàn) SOC 區(qū)域網(wǎng)絡(luò)安全訪問(wèn)控制，通過(guò)部署 NAS 存儲(chǔ)設(shè)備，實(shí)現(xiàn)數(shù)據(jù)的集中安全存儲(chǔ)和備份功能，而且易于擴(kuò)展。 在內(nèi)網(wǎng)區(qū)域安全域劃分為，應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)區(qū)，應(yīng)用平臺(tái)區(qū)、綜合管理區(qū)和XXXX 等級(jí)保護(hù)安全集成建設(shè)項(xiàng)目 信息安全子系統(tǒng) 投標(biāo)文件 技術(shù)部分 169。 2020 安徽沐誠(chéng) 37 安全服務(wù)區(qū)。 區(qū)域之 間通過(guò)交換機(jī) VLAN 劃分和訪問(wèn)控制實(shí)現(xiàn)，與外部安全域訪問(wèn)通過(guò)第二層防火墻實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制。在服務(wù)器交換機(jī)部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，通過(guò)將重要業(yè)務(wù)服務(wù)器的數(shù)據(jù)流鏡像到網(wǎng)絡(luò)安全審計(jì)設(shè)備上，監(jiān)控和審計(jì)網(wǎng)絡(luò)行為。 各省分中心局域網(wǎng) 信息安全子系統(tǒng)規(guī)劃拓?fù)鋱D 信息安全子系統(tǒng)設(shè)計(jì)概述 省分中心主要安全措施在互聯(lián)網(wǎng)邊界處，通過(guò)部署防火墻、防病毒網(wǎng)關(guān)等安全措施實(shí)現(xiàn)。防火墻通過(guò)與國(guó)家中心之間 建立 IPSEC VPN 隧道，實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。 XXXX 等級(jí)保護(hù)安全集成建設(shè)項(xiàng)目 信息安全子系統(tǒng) 投標(biāo)文件 技術(shù)部分 169。 2020 安徽沐誠(chéng) 38 安全技術(shù)方案詳細(xì)設(shè)計(jì) 確定保護(hù)對(duì)象 計(jì)算環(huán)境及保護(hù)強(qiáng)度確定 確定要保護(hù)的計(jì)算環(huán)境 及保護(hù)強(qiáng)度為： ? 業(yè)務(wù)服務(wù)器區(qū)域：包含了運(yùn)行業(yè)務(wù)系統(tǒng)的應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，根據(jù)業(yè)務(wù)系統(tǒng)的定級(jí)情況，可確定應(yīng)按照 3 級(jí)強(qiáng)度來(lái)保護(hù)業(yè)務(wù)服務(wù)器區(qū)域，并按照 S3A2G3 來(lái)選擇需要滿足的技術(shù)要求； ? 安全服務(wù) 區(qū)域 ：包含了 信息安全管理平臺(tái)、 防病毒 管理平臺(tái) 、 WEB 防篡改、漏掃服務(wù)器和 IDS 管理服務(wù)器 ，以及配置管理的維護(hù)終端，根據(jù)定級(jí)運(yùn)行維護(hù)系統(tǒng)為 3 級(jí)，因此可確定應(yīng)按照 3 級(jí)強(qiáng)度來(lái)保護(hù)運(yùn)行維護(hù)區(qū)域，并按照 S3A3G3 來(lái)選擇需要滿足的技術(shù)要求； ? 綜合管理 區(qū)域 ：包含了 備份服務(wù)器、 NTP 服務(wù)器和綜合管理服務(wù)器 ，根據(jù)定級(jí)系統(tǒng)為 2 級(jí)， 因此可確定應(yīng)按照 2 級(jí)強(qiáng)度來(lái)保護(hù) 該 區(qū)域，并按照S2A2G2 來(lái)選擇需要滿足的技術(shù)要求； ? 外部服務(wù)器區(qū)域：包含了 WEB 服務(wù)器 和 DSS 服務(wù)器，根據(jù)定級(jí)外部服務(wù)系統(tǒng)為 2 級(jí)，因此可確定應(yīng)按照 2 級(jí)強(qiáng)度來(lái)保護(hù)外部服務(wù)器區(qū)域，并按照 S2A2G2 來(lái)選擇需要滿足的技術(shù)要求； ? 辦公 管理系統(tǒng)服務(wù)器區(qū)域 ：包含了運(yùn)行內(nèi)部辦公系統(tǒng)的應(yīng)用服務(wù)器，根據(jù)內(nèi)部辦公系統(tǒng)的定級(jí)情況，可確定應(yīng)按照 1 級(jí)強(qiáng)度來(lái)保護(hù)辦公服務(wù)器區(qū)域，并按照 S1A1G1 來(lái)選擇需要滿足的技術(shù)要求； ? 辦公 終端 區(qū) ：涉及辦公終端區(qū)域按照“終端系統(tǒng)單獨(dú)作為系統(tǒng)進(jìn)行保護(hù)”的原則，對(duì)終端區(qū)域 采取隔離、訪問(wèn)控制、自身安全檢查、終端行為檢查、身份認(rèn)證等措施進(jìn)行保護(hù)即可。 區(qū)域邊界及保護(hù)強(qiáng)度確定 確定要保護(hù)的區(qū)域邊界及保護(hù)強(qiáng)度為： XXXX 等級(jí)保護(hù)安全集成建設(shè)項(xiàng)目 信息安全子系統(tǒng) 投標(biāo)文件 技術(shù)部分 169。 2020 安徽沐誠(chéng) 39 ? 業(yè)務(wù)服務(wù)器區(qū)域邊界：應(yīng)按照 3 級(jí)強(qiáng)度來(lái)保護(hù)，并按照 S3A2G3 來(lái)選擇需要滿足的技術(shù)要求； ? 安全服務(wù) 區(qū)域邊界： 應(yīng)按照 3 級(jí)強(qiáng)度來(lái)保護(hù)，并按照 S3A3G3 來(lái)選擇需要滿足的技術(shù)要求； ? 綜合管理 區(qū)域 邊界： 應(yīng)按照 2 級(jí)強(qiáng)度來(lái)保，并按照 S2A2G2 來(lái)選擇需要滿足的技術(shù)要求； ? 外部服務(wù)器區(qū)域邊界： 應(yīng)按照 2 級(jí)強(qiáng)度來(lái)保，并按照 S2A2G2 來(lái)選擇需要滿足的技術(shù)要求； ? 辦公 管理系統(tǒng)服務(wù)器區(qū)域 ：應(yīng)按照 1 級(jí)強(qiáng)度來(lái)保護(hù)，并按照 S1A1G1來(lái)選擇需要滿足的技術(shù)要求； ? 終端區(qū)域邊界：可通過(guò)隔離及強(qiáng)制訪問(wèn)控制來(lái)進(jìn)行保護(hù)；另外根據(jù)實(shí)際業(yè)務(wù)需求，還需要進(jìn)行非法接入的控制。 通信網(wǎng)絡(luò)及保護(hù)強(qiáng)度確定 確定要保護(hù)的通信網(wǎng)絡(luò)為實(shí)現(xiàn)各個(gè)計(jì)算環(huán)境通信的核心網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)鏈路，即要保護(hù)核心的防火墻、 運(yùn)營(yíng)商 出口的路由器以及骨干鏈路， 根據(jù)信息系統(tǒng)的總體定級(jí)，可確定通信網(wǎng)絡(luò)應(yīng)按照 3 級(jí)強(qiáng)度進(jìn)行保護(hù)，應(yīng)實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)控、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)備份 /冗余與故障恢復(fù)、網(wǎng)絡(luò)應(yīng)急處理、網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性保護(hù)以及可信網(wǎng)絡(luò)連接設(shè)備等措施。 為描繪上方便，本 方案中統(tǒng)一將通信網(wǎng)絡(luò)定義名稱為：骨干網(wǎng)絡(luò)。 保護(hù)計(jì)算環(huán)境 保護(hù)業(yè)務(wù)服務(wù)器區(qū)域 根據(jù) 3 級(jí)系統(tǒng)的基本要求，和安全技術(shù)設(shè)計(jì)規(guī)范的內(nèi)容， 3 級(jí)計(jì)算環(huán)境的安全保障應(yīng)當(dāng)實(shí)現(xiàn)安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)、集中安全審計(jì)、主機(jī)入侵防范、主機(jī)防惡意代碼以及數(shù)據(jù)備份及故障恢復(fù)等措施，對(duì)業(yè)務(wù)服務(wù)器區(qū)域，從實(shí)現(xiàn) 3級(jí)安全計(jì)算環(huán)境的角度，將采取以下的安全措施： XXXX 等級(jí)保護(hù)安全集成建設(shè)項(xiàng)目 信息安全子系統(tǒng) 投標(biāo)文件 技術(shù)部分 169。 2020 安徽沐誠(chéng) 40 采用操作系統(tǒng)加固 措施 通過(guò)核心加固將全面提升服務(wù)器的安全性，并執(zhí)行以下的安全策略，以充分滿足等級(jí)保護(hù)中對(duì) 3 級(jí)系統(tǒng)的主機(jī)安全要求。 ? 雙因素身份認(rèn)證策略：在尊重傳統(tǒng)的身份認(rèn)證下，運(yùn)用硬件 USBKEY和密碼分別對(duì)安全管理員及審計(jì)管理員進(jìn)行雙因素身份認(rèn)證。具有安全可靠性，為數(shù)據(jù)提供機(jī)密性、完整性、有效性提供保證； ? 權(quán)限分離策略：操作系統(tǒng)核心加固系統(tǒng)，對(duì)超級(jí)管理員賬號(hào)進(jìn)行重新分配和權(quán)力的削弱，并根據(jù)“三權(quán)分立”的原則，定義了系統(tǒng)管理員、審計(jì)管理員以及安全管理員三種角色，各類角色分別可執(zhí)行不同的管理操作，充分保障了系統(tǒng)的安全性； ? 內(nèi)核級(jí)文件強(qiáng)制訪問(wèn)控制策略：安全加固系統(tǒng)允許對(duì)用戶或進(jìn)程以不同訪問(wèn)權(quán)限對(duì)文件 /目錄設(shè)制訪問(wèn)規(guī)則，并且可以對(duì)文件 /目錄和用戶設(shè)定安全級(jí)別，按級(jí)別通過(guò)安全模型實(shí)施訪問(wèn)控制， 任何用戶（包括系統(tǒng)管理員）及其調(diào)用的進(jìn)程對(duì)敏感文件或目錄進(jìn)行創(chuàng)建、刪除、修改、讀取等操作時(shí)，將根據(jù)安全加固系統(tǒng)制定的規(guī)則進(jìn)行過(guò)濾（允許或拒絕） ? 內(nèi)核級(jí)進(jìn)程強(qiáng)制訪問(wèn)控制策略：內(nèi)核加固系統(tǒng)允許對(duì)進(jìn)程以不同訪問(wèn)權(quán)限對(duì)進(jìn)程設(shè)制訪問(wèn)規(guī)則，任何用戶（包括系統(tǒng)管理員）及其調(diào)用的非授權(quán)進(jìn)程都無(wú)權(quán)終止與操作受內(nèi)核加固系統(tǒng)保護(hù)的進(jìn)程。 ? 內(nèi)核級(jí)服務(wù)強(qiáng)制訪問(wèn)控制策略：內(nèi)核加固系統(tǒng)通過(guò)及時(shí)發(fā)現(xiàn)新增應(yīng)用服務(wù)或驅(qū)動(dòng)，并立即強(qiáng)行終止應(yīng)用服務(wù)或驅(qū)動(dòng)的注冊(cè)，達(dá)到對(duì)服務(wù)進(jìn)行訪問(wèn)控制的目的； ? 應(yīng)用級(jí)文件完整性檢測(cè)策略：由用戶指定需要建立校驗(yàn)信息 的關(guān)鍵性只讀目錄及數(shù)據(jù)文件名稱，檢測(cè)程序自動(dòng)記錄目錄中所有文件的基本屬性及內(nèi)容校驗(yàn)和。通過(guò)定期進(jìn)行校驗(yàn)和的有效性檢測(cè)，可以達(dá)到驗(yàn)證重要文件或目錄完整性的目的； ? 應(yīng)用級(jí)服務(wù)完整性檢測(cè)策略：檢測(cè)程序自動(dòng)記錄目錄中所有服務(wù)的基本屬性及內(nèi)容校驗(yàn)和。通過(guò)定期進(jìn)行校驗(yàn)和的有效性檢測(cè)，可以達(dá)到驗(yàn)證服務(wù)完整性的目的； XXXX 等級(jí)保護(hù)安全集成建設(shè)項(xiàng)目 信息安全子系統(tǒng) 投標(biāo)文件 技術(shù)部分 169。 2020 安徽沐誠(chéng) 41 ? 應(yīng)用級(jí)文件機(jī)密性保護(hù)策略：由用戶制定需要加密的文件，并通過(guò)對(duì)稱加密算法對(duì)文件進(jìn)行加密，加密后的文件根據(jù)強(qiáng)制訪問(wèn)控制策略，只有訪問(wèn)權(quán)限用戶方可成功解密文件。 采用數(shù)據(jù)庫(kù)安全加固 為了 能夠符合等級(jí)保護(hù) 3 級(jí)系統(tǒng)的要 求，建議可通過(guò)人工加固服務(wù)來(lái)實(shí)現(xiàn)數(shù)據(jù)庫(kù)自身安全性保護(hù)張，主要的人工加固內(nèi)容包括： 安裝最新的服務(wù)包 為了提高服務(wù)器安全性，最有效的一個(gè)方法就是升級(jí)到 SQL Server 2020 Service Pack 3a (SP3a)。 評(píng)估服務(wù)器的安全性 MBSA 是一個(gè)掃描多種 Microsoft 產(chǎn)品的不安全配置的工具，包括 SQL Server 和 Microsoft SQL Server 2020 Desktop Engine (MSDE 2020)。它可以在本地運(yùn)行，也可以通過(guò)網(wǎng)絡(luò)運(yùn)行。該工具針對(duì)下面問(wèn) 題對(duì) SQL Server 安裝進(jìn)行檢測(cè)： ? 過(guò)多的 sysadmin 固定服務(wù)器角色成員。 ? 授予 sysadmin 以外的其他角色創(chuàng)建 CmdExec 作業(yè)的權(quán)利。 ? 空的或簡(jiǎn)單的密碼。 ? 脆弱的身份驗(yàn)證模式。 ? 授予管理員組過(guò)多的權(quán)利。 ? SQL Server 數(shù)據(jù)目錄中不正確的訪問(wèn)控制表 (ACL)。 ? 安裝文件中使用純文本的 sa 密碼。 ? 授予 guest 帳戶過(guò)多的權(quán)利。 ? 在同時(shí)是域控制器的系統(tǒng)中運(yùn)行 SQL Server。 ? 所有人（ Everyone）組的不正確配置，提供對(duì)特定注冊(cè)表鍵的訪問(wèn)。 ? SQL Server 服務(wù)帳戶的不正確配置。 ? 沒(méi)有安裝必要的服務(wù)包和安全更新。 使用 Windows 身份驗(yàn)證模式 XXXX 等級(jí)保護(hù)安全集成建設(shè)項(xiàng)目 信息安全子系統(tǒng) 投標(biāo)文件 技術(shù)部分 169。 2020 安徽沐誠(chéng) 42 在任何可能的時(shí)候，您都應(yīng)該對(duì)指向 SQL Server 的連接要求 Windows 身份驗(yàn)證模式。它通過(guò)限制對(duì) Microsoft Windows174。用戶和域用戶帳戶的連接，保護(hù) SQL Server 免受大部分 Inter 的工具的侵害。而且，您的服務(wù)器也將從 Windows 安全增強(qiáng)機(jī)制中獲益，例如更強(qiáng)的身份驗(yàn)證協(xié)議以及強(qiáng)制的密碼復(fù)雜性和過(guò)期時(shí)間。另外，憑證委派（在多臺(tái)服務(wù)器間橋接憑證的能力）也只能 在 Windows 身份驗(yàn)證模式中使用。在客戶端， Windows 身份驗(yàn)證模式不再需要存儲(chǔ)密碼。存儲(chǔ)密碼是使用標(biāo)準(zhǔn) SQL Server 登錄的應(yīng)用程序的主要漏洞之一。 隔離服務(wù)器 和 定期備份 物理和邏輯上的隔離組成 了