Обеспечение безопасности SQL Server
Добавления: 12 декабря 2006 г.
Обеспечение безопасности SQL Server затрагивает следующие три области: платформу и сеть, участников и защищаемые объекты, а также приложения, которые обращаются к базе данных. В приведенных ниже разделах описано создание и реализация эффективного плана обеспечения безопасности.
Дополнительные сведения о безопасности SQL Server, включая руководство с рекомендациями, а также контрольный перечень безопасности, см. на веб-узле SQL Server. Кроме того, этот веб-узел содержит сведения о пакетах обновления и файлы для загрузки.
Безопасность платформы и сети
Понятие «платформа для SQL Server» включает в себя физическое оборудование и сетевые компьютеры, с которых клиенты соединяются с серверами базы данных, а также двоичные файлы, применяемые для обработки запросов базы данных.
Физическая безопасность
Рекомендуется строго ограничивать доступ к физическим серверам и компонентам оборудования. Например, оборудование сервера базы данных и сетевые устройства должны находиться в закрытых охраняемых помещениях. Доступ к резервным носителям также следует ограничить. Для этого их рекомендуется хранить в отдельных охраняемых помещениях.
Реализация физической безопасности начинается с запрета доступа неавторизованных пользователей к сети. Следующая таблица содержит дополнительные сведения об источниках сведений по сетевой безопасности.
| Сведения о | См. в |
|---|---|
Сети и SQL Server |
|
Настройка портов для SQL Server и ограничение доступа к ним |
Конфигурирование сетевых протоколов сервера и сетевых библиотек |
Ограничение сетевого доступа к SQL Server |
|
SQL Server 2005 Compact Edition и сетевой доступ к другим выпускам SQL Server |
Раздел «Настройка и обеспечение безопасности среды сервера» в электронной документации по SQL Server 2005 Compact Edition |
Стратегии резервного копирования и восстановления |
Безопасность операционной системы
В состав пакетов обновления и отдельных обновлений для операционной системы входят важные дополнения, позволяющие усилить безопасность. Все обновления для операционной системы необходимо устанавливать только после тестирования на приложениях базы данных.
Кроме того, эффективную безопасность можно реализовать с помощью брандмауэров. Брандмауэр, распределяющий или ограничивающий сетевой трафик, можно настроить в соответствии с корпоративной политикой информационной безопасности. Использование брандмауэра повышает безопасность на уровне операционной системы, обеспечивая узкую область, в которой можно сосредоточить меры по обеспечению безопасности. Следующая таблица содержит дополнительные сведения об использовании брандмауэра с SQL Server.
| Сведения о | См. в |
|---|---|
Настройка брандмауэра для работы с SQL Server |
|
Настройка брандмауэра для работы со службами Integration Services |
Настройка параметров брандмауэра Windows для доступа к службам Integration Services |
Настройка брандмауэра для работы со службами Analysis Services |
Как настроить брандмауэр Windows для доступа к службам Analysis Services |
Настройка брандмауэра для работы со службами Reporting Services |
|
Открытие определенных портов брандмауэра для предоставления доступа к SQL Server |
Уменьшение контактной зоны является мерой безопасности, предусматривающей остановку или отключение неиспользуемых компонентов. Уменьшение контактной зоны способствует повышению уровня безопасности за счет уменьшения числа возможных способов атаковать систему. Важную роль в ограничении контактной зоны SQL Server играет выполнение необходимых служб по принципу «минимум полномочий», согласно которому службам и пользователям предоставляются только необходимые для работы права. Следующая таблица содержит дополнительные сведения по службам и доступу к системе.
| Сведения о | См. в |
|---|---|
Службы, необходимые для SQL Server |
|
Ограничение входа на сервер |
|
Локальные административные права |
Если в системе SQL Server используются службы IIS, то для обеспечения безопасности контактной зоны платформы потребуются дополнительные шаги. Следующая таблица содержит сведения о SQL Server и службах IIS.
| Сведения о | См. в |
|---|---|
Безопасность служб IIS в SQL Server 2005 Compact Edition |
«Безопасность служб IIS» в электронной документации по SQL Server 2005 Compact Edition |
Использование служб XML в SQL Server и службах IIS |
Оптимальные методы использования собственных веб-служб с поддержкой XML |
Серверы отчетов и доступ в Интернет |
|
Настройка безопасности форм на сервере отчетов |
|
Проверка подлинности служб Reporting Services |
|
SQL Server 2005 Compact Edition и доступ к службам IIS |
«Блок-схема безопасности служб IIS» в электронной документации по SQL Server 2005 Compact Edition |
Безопасность файлов операционной системы SQL Server
SQL Server использует файлы операционной системы для работы и хранения данных. Оптимальным решением для обеспечения безопасности файлов будет ограничение доступа к ним. Следующая таблица содержит сведения об этих файлах.
| Сведения о | См. в |
|---|---|
Исполняемые файлы SQL Server |
Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server 2005 |
Безопасность файлов базы данных |
|
Безопасность файлов служб Notification Services |
|
Безопасность файлов служб Analysis Services |
Защита программных файлов, общих компонентов и файлов данных |
Обновления и пакеты обновления для SQL Server позволяют повысить безопасность. Чтобы определить новейший доступный пакет обновления для SQL Server, перейдите на веб-узел SQL Server.
Определить установленный в системе пакет обновления можно с помощью приведенного ниже сценария:
SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
GO
Безопасность участников и объектов базы данных
Участники — это отдельные пользователи, группы и процессы, которым предоставлен доступ к ресурсам SQL Server. Защищаемые объекты — это сервер, база данных и объекты, которые содержит база данных. У каждого из них существует набор разрешений, с помощью которого можно еще больше ограничить контактную зону SQL Server. Следующая таблица содержит сведения об участниках и защищаемых объектах.
| Сведения о | См. в |
|---|---|
Пользователи, роли и процессы сервера и базы данных |
|
Безопасность объектов сервера и базы данных |
|
Иерархия безопасности SQL Server |
Дополнительные сведения о безопасности базы данных и приложений см. в разделе Вопросы безопасности баз данных и приложений для работы с базами данных.
Шифрование и сертификаты
Шифрование не решает проблемы управления доступом. Однако оно повышает безопасность, ограничивая потерю данных даже в тех редких случаях, когда средства управления доступом удается обойти. Например, если компьютер, на котором установлена база данных, был настроен неправильно и хакер смог получить конфиденциальные данные (например, номера кредитных карточек), то украденная информация будет бесполезна, если она была предварительно зашифрована. Следующая схема содержит дополнительные сведения о шифровании в SQL Server.
| Сведения о | См. в |
|---|---|
Иерархия шифрования в SQL Server |
|
Шифрование соединений SQL Server |
|
Реализация безопасных соединений |
Как включить шифрование соединений в компоненте Database Engine (диспетчер конфигурации SQL Server) |
Функции шифрования |
|
Реализация шифрования |
|
Настройка шифрования данных в службах Analysis Services |
Сертификаты — это совместно используемые на двух серверах программные «ключи», которые позволяют обеспечить безопасную передачу данных посредством надежной проверки подлинности. SQL Server позволяет создавать и использовать сертификаты для повышения безопасности объектов и соединений. Следующая таблица содержит сведения об использовании сертификатов в SQL Server.
| Сведения о | См. в |
|---|---|
Безопасные соединения с использованием сертификатов |
|
Создание сертификата, который будет использоваться SQL Server |
|
Использование сертификатов в компоненте SQL Server Service Broker |
|
Использование сертификатов при зеркальном отображении базы данных |
Использование сертификатов для зеркального отображения базы данных |
Безопасность приложений
Для SQL Server рекомендуется разрабатывать защищенные клиентские приложения. Дополнительные сведения о доступе к серверу и клиентским приложениям SQL Server см. в разделе SQL Server Programming Overview.
Дополнительные сведения об обеспечении безопасности клиентских приложений на уровне сети см. в разделе Конфигурация клиентской сети.
Дополнительные сведения о создании приложений с собственными службами XML см. в разделе Написание клиентских приложений.
Средства, программы, представления и функции безопасности SQL Server
В SQL Server предусмотрены средства, программы, представления и функции, которые используются для настройки и управления безопасностью.
Средства и программы безопасности SQL Server
Следующая таблица содержит сведения о средствах и программах SQL Server, с помощью которых можно настраивать и администрировать безопасность.
| Сведения о | См. в |
|---|---|
Соединение с SQL Server, настройка сервера и управление им |
|
Соединение с SQL Server и запуск запросов из командной строки |
|
Настройка сети и управление SQL Server |
|
Настройка параметров компонентов и соединений |
|
Настройка параметров компонентов и соединений из командной строки |
|
Управление симметричными ключами для сервера отчетов |
Представления каталога и функции безопасности SQL Server
В компоненте Database Engine сведения о безопасности доступны через несколько представлений и функций, оптимизированных для наибольшей производительности и полезности. Следующая таблица содержит сведения о представлениях и функциях безопасности.
| Объекты | Сведения |
|---|---|
Представления каталога безопасности SQL Server возвращают сведения о разрешениях, участниках, ролях и других сущностях уровня базы данных и сервера. Кроме того, есть представления каталога, содержащие сведения о ключах шифрования, сертификатах и учетных данных. |
|
Функции безопасности SQL Server, которые возвращают сведения о текущем пользователе, разрешениях, схемах и т. д. |
См. также
Другие ресурсы
Анализ безопасности при установке SQL Server