Обеспечение безопасности SQL Server
Обеспечение безопасности SQL Server можно представить как последовательность шагов в четырех областях: платформа, проверка подлинности, объекты (в том числе данные) и приложения, которые обращаются к системе. В приведенных ниже разделах описано создание и реализация эффективного плана обеспечения безопасности.
Дополнительные сведения о безопасности SQL Server см. на веб-сайте SQL Server. Они включают руководство с рекомендациями и контрольный список безопасности. Кроме того, этот веб-сайт содержит сведения о пакетах обновлений и файлы для загрузки.
Безопасность платформы и сети
Платформа для SQL Server включает в себя физическое оборудование и сетевые компьютеры, с помощью которых клиенты соединяются с серверами базы данных, а также двоичные файлы, применяемые для обработки запросов базы данных.
Физическая безопасность
Рекомендуется строго ограничивать доступ к физическим серверам и компонентам оборудования. Например, оборудование сервера базы данных и сетевые устройства должны находиться в закрытых охраняемых помещениях. Доступ к резервным носителям также следует ограничить. Для этого их рекомендуется хранить в отдельных охраняемых помещениях.
Реализация физической сетевой безопасности начинается с запрета доступа неавторизованных пользователей к сети. Следующая таблица содержит дополнительные сведения об источниках сведений по сетевой безопасности.
Объекты |
Сведения |
|---|---|
Сети и SQL Server |
|
Указание портов для SQL Server и ограничение доступа к ним |
Конфигурирование сетевых протоколов сервера и сетевых библиотек |
Ограничение сетевого доступа к SQL Server |
|
SQL Server Compact 3.5 с пакетом обновления 2 (SP2) и сетевой доступ к другим выпускам SQL Server |
Раздел «Настройка и обеспечение безопасности среды сервера» в электронной документации по SQL Server Compact 3.5 с пакетом обновления 2 (SP2) |
Стратегии резервного копирования и восстановления |
Безопасность операционной системы
В состав пакетов обновления и отдельных обновлений для операционной системы входят важные дополнения, позволяющие усилить безопасность. Все обновления для операционной системы необходимо устанавливать только после их тестирования с приложениями базы данных.
Кроме того, эффективную безопасность можно реализовать с помощью брандмауэров. Брандмауэр, распределяющий или ограничивающий сетевой трафик, можно настроить в соответствии с корпоративной политикой информационной безопасности. Использование брандмауэра повышает безопасность на уровне операционной системы, обеспечивая узкую область, на которой можно сосредоточить меры безопасности. Следующая таблица содержит дополнительные сведения по использованию брандмауэра с SQL Server.
Сведения о |
См. в разделах |
|---|---|
Настройка брандмауэра для работы с SQL Server |
Как настроить брандмауэр Windows для доступа к компоненту Database Engine |
Настройка брандмауэра для работы со службами Integration Services |
Настройка параметров брандмауэра Windows для доступа к службам Integration Services |
Настройка брандмауэра для работы со службами Службы Analysis Services |
настроить брандмауэр Windows для доступа к службам Analysis Services |
Настройка брандмауэра для работы со службами Службы Reporting Services |
|
Открытие конкретных портов брандмауэра, чтобы предоставить доступ к SQL Server |
|
Настройка поддержки расширенной защиты при проверке подлинности с помощью привязки каналов и привязки служб |
Соединение с компонентом Database Engine с использованием расширенной защиты |
Уменьшение контактной зоны является мерой безопасности, предполагающей остановку или отключение неиспользуемых компонентов. Уменьшение контактной зоны повышает уровень безопасности за счет уменьшения числа возможных способов атаковать систему. Важную роль в ограничении контактной зоны SQL Server играет запуск необходимых служб по принципу «минимума прав доступа», согласно которому службам и пользователям предоставляются только необходимые для работы права. Следующая таблица содержит дополнительные сведения по службам и доступу к системе.
Сведения о |
См. в разделах |
|---|---|
Службы, необходимые для SQL Server |
|
Ограничение входа на сервер |
|
Локальные административные права |
Если в системе SQL Server используются службы IIS, чтобы обеспечить безопасность контактной зоны платформы, необходимы дополнительные шаги. Следующая таблица содержит сведения о SQL Server и службах IIS.
Сведения о |
См. в разделах |
|---|---|
Безопасность служб IIS в SQL Server Compact 3.5 с пакетом обновления 2 (SP2) |
«Безопасность служб IIS» в электронной документации по SQL Server Compact 3.5 с пакетом обновления 2 (SP2) |
Использование веб-служб в SQL Server и службах IIS |
Оптимальные методы использования собственных веб-служб с поддержкой XML |
Серверы отчетов и доступ в Интернет |
|
Проверка подлинности служб Службы Reporting Services |
|
SQL Server Compact 3.5 с пакетом обновления 2 (SP2) и доступ к службам IIS |
«Блок-схема безопасности служб IIS» в электронной документации по SQL Server Compact 3.5 с пакетом обновления 2 (SP2) |
Безопасность файлов операционной системы SQL Server
SQL Server использует файлы операционной системы для работы и хранения данных. Оптимальным решением для обеспечения безопасности файлов будет ограничение доступа к ним. Следующая таблица содержит сведения об этих файлах.
Сведения о |
См. в разделах |
|---|---|
Исполняемые файлы SQL Server |
Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server |
Безопасность файлов базы данных |
|
Безопасность файлов служб Службы Analysis Services |
Защита программных файлов, общих компонентов и файлов данных |
Обновления и пакеты обновления для SQL Server позволяют повысить безопасность. Чтобы определить новейший доступный пакет обновления для SQL Server, перейдите на веб-сайт SQL Server.
С помощью приведенного ниже скрипта можно определить установленный в системе пакет обновления.
SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
GO
Безопасность участников и объектов базы данных
Участники — это отдельные пользователи, группы и процессы, которым предоставлен доступ к ресурсам SQL Server. Защищаемые объекты — это сервер, база данных и объекты, которые содержит база данных. У каждого из них существует набор разрешений, с помощью которых можно уменьшить контактную зону SQL Server. Следующая таблица содержит сведения об участниках и защищаемых объектах.
Сведения о |
См. в разделах |
|---|---|
Пользователи, роли и процессы сервера и базы данных |
|
Безопасность объектов сервера и базы данных |
|
Иерархия безопасности SQL Server |
Дополнительные сведения о безопасности базы данных и приложений см. в разделе Идентификатор и управление доступом (компонент Database Engine).
Шифрование и сертификаты
Шифрование не решает проблемы управления доступом. Однако оно повышает безопасность, ограничивая потерю данных даже в тех редких случаях, когда средства управления доступом удается обойти. Например, если компьютер, на котором установлена база данных, был настроен неправильно, и злонамеренный пользователь смог получить конфиденциальные данные (например, номера кредитных карточек), то украденная информация будет бесполезна, если она была предварительно зашифрована. Следующая таблица содержит дополнительные сведения о шифровании в SQL Server.
Сведения о |
См. в разделах |
|---|---|
Иерархия шифрования в SQL Server |
|
Шифрование соединений SQL Server |
|
Реализация безопасных соединений |
Как включить шифрование соединений с компонентом Database Engine (диспетчер конфигурации SQL Server) |
Функции шифрования |
|
Реализация шифрования |
|
Настройка шифрования данных в службах Службы Analysis Services |
Сертификаты — это совместно используемые на двух серверах программные «ключи», которые позволяют обеспечить безопасную передачу данных с помощью надежной проверки подлинности. SQL Server позволяет создавать и использовать сертификаты для повышения безопасности объектов и соединений. Следующая таблица содержит дополнительные сведения об использовании сертификатов с SQL Server.
Сведения о |
См. в разделах |
|---|---|
Безопасные соединения с использованием сертификатов |
|
Создание сертификата, который будет использоваться SQL Server |
|
Использование сертификатов с компонентом SQL Server Service Broker |
|
Использование сертификатов при зеркальном отображении базы данных |
Использование сертификатов для зеркального отображения базы данных |
Безопасность приложений
Для SQL Server рекомендуется разрабатывать защищенные клиентские приложения. Дополнительные сведения о доступе к серверу и клиентских приложениях SQL Server см. в разделе Руководство разработчика (компонент Database Engine).
Дополнительные сведения об обеспечении безопасности клиентских приложений на уровне сети см. в разделе Конфигурация клиентской сети.
Дополнительные сведения о создании приложений с собственными службами XML см. в разделе Написание клиентских приложений.
Средства, программы, представления и функции безопасности SQL Server
В SQL Server предусмотрены средства, программы, представления и функции, которые используются для настройки и управления безопасностью.
Средства и программы безопасности SQL Server
Следующая таблица содержит сведения о средствах и программах SQL Server, с помощью которых можно настраивать и администрировать безопасность.
Сведения о |
См. в разделах |
|---|---|
Соединение с SQL Server, настройка сервера и управление им |
|
Соединение с SQL Server и запуск запросов из командной строки |
|
Настройка сети и управление SQL Server |
|
Включение и отключение компонентов с помощью средства управления на основе политики |
Администрирование серверов с помощью управления на основе политик |
Управление симметричными ключами для сервера отчетов |
Представления каталога и функции безопасности SQL Server
В компоненте Database Engine сведения о безопасности доступны через несколько представлений и функций, оптимизированных для наибольшей производительности и полезности. Следующая таблица содержит сведения о представлениях и функциях безопасности.
Сведения о |
См. в разделах |
|---|---|
Представления каталога безопасности SQL Server возвращают сведения о разрешениях, участниках, ролях и других сущностях уровня базы данных и сервера. Кроме того, существуют представления каталога, содержащие сведения о ключах шифрования, сертификатах и учетных данных. |
|
Функции безопасности SQL Server, которые возвращают сведения о текущем пользователе, разрешениях и схемах. |
|
Динамические административные представления SQL Server. |
Динамические административные представления и функции, связанные с безопасностью (Transact-SQL) |