《信息系統(tǒng)安全理論與技術(shù)》

第8章數(shù)據(jù)庫系統(tǒng)安全本章內(nèi)容8.2一般安全機制8.3

SQLServer安全機制8.1數(shù)據(jù)庫安全概述8.1數(shù)據(jù)庫安全概述?數(shù)據(jù)庫由數(shù)據(jù)庫管理系統(tǒng)提供統(tǒng)一的數(shù)據(jù)保護功能來保證數(shù)據(jù)的安全可靠和正確有效?數(shù)據(jù)庫的安全性保護數(shù)據(jù)庫以防止不合法使用所造成的數(shù)據(jù)泄露、更改或破壞

8.1數(shù)據(jù)庫安全概述?安全性問題不是數(shù)據(jù)庫系統(tǒng)所獨有的所有計算機系統(tǒng)都存在不安全因素，只是在數(shù)據(jù)庫系統(tǒng)中由于大量數(shù)據(jù)集中存放、眾多用戶直接共享，從而使安全性問題

更加突出

安全特性（1）數(shù)據(jù)獨立性物理獨立性：用戶的應用程序與存儲在磁盤上的數(shù)據(jù)庫中的數(shù)據(jù)是相互獨立的邏輯獨立性：用戶的應用程序與數(shù)據(jù)庫的邏輯結(jié)構(gòu)是相互獨立的（2）數(shù)據(jù)安全性比較完整的數(shù)據(jù)庫通常對數(shù)據(jù)安全性采取以下措施①將數(shù)據(jù)庫中需要保護的部分與其他部分相隔②采用授權(quán)規(guī)則，如賬戶、口令和權(quán)限控制等訪問控制方法③對數(shù)據(jù)進行加密后存儲于數(shù)據(jù)庫8.1數(shù)據(jù)庫安全概述安全特性（3）數(shù)據(jù)完整性正確性：數(shù)據(jù)的輸入值與數(shù)據(jù)表對應域的類型一致有效性：數(shù)據(jù)庫中的理論數(shù)值滿足現(xiàn)實應用中對該數(shù)值段的約束一致性：不同用戶使用的數(shù)據(jù)庫中的數(shù)據(jù)應該是一樣的（4）并發(fā)控制如果一個用戶取出數(shù)據(jù)進行修改，在將修改后的數(shù)據(jù)存入

數(shù)據(jù)庫之前有其他用戶再取此數(shù)據(jù)，那么讀出的數(shù)據(jù)就是不

正確的管理員需要對這種并發(fā)操作進行控制，排除和避免這種問題的發(fā)生，保證數(shù)據(jù)的正確性8.1數(shù)據(jù)庫安全概述安全特性（5）故障恢復由數(shù)據(jù)庫管理系統(tǒng)提供一套方法，用于及時發(fā)現(xiàn)故障和

修復故障，從而防止數(shù)據(jù)被破壞。數(shù)據(jù)庫系統(tǒng)能盡快修復運行時出現(xiàn)的物理上或者邏輯上的故障與錯誤（6）安全策略在進行數(shù)據(jù)庫安全配置之前，管理員首先必須對操作系統(tǒng)進行安全配置，保證操作系統(tǒng)處于安全狀態(tài)；然后對待使用的數(shù)據(jù)庫

軟件進行必要的安全審核，以消除基于數(shù)據(jù)庫的Web應用常出現(xiàn)的安全隱患8.1數(shù)據(jù)庫安全概述安全威脅授權(quán)用戶的非故意錯誤操作

由于不慎而造成意外刪除或泄漏，非故意地規(guī)避安全策略非授權(quán)用戶的惡意存取和破壞

攻擊者在授權(quán)用戶訪問數(shù)據(jù)庫時獵取用戶名和用戶口令，

然后假冒合法用戶重要或敏感的數(shù)據(jù)泄露潛在的威脅或非授權(quán)用戶的入侵行為造成的重要數(shù)據(jù)泄露42安全環(huán)境的脆弱性

操作系統(tǒng)安全的脆弱、網(wǎng)絡協(xié)議安全保障的不足等都會造成數(shù)據(jù)庫安全性的破壞138.1數(shù)據(jù)庫安全概述安全標準：TCSEC/TDI標準定義了在數(shù)據(jù)庫管理系統(tǒng)的設計與實現(xiàn)中需滿足和用以

進行安全性級別評估的標準，從4個方面描述安全性級別劃分的指標，即安全策略、責任、保證和文檔從下到上，可靠程度或可信程度逐漸增高8.1數(shù)據(jù)庫安全概述安全標準：信息技術(shù)安全評價通用準則（CC）將對信息的安全要求分為安全功能要求和安全保證要求安全功能要求用以規(guī)范產(chǎn)品和系統(tǒng)的安全行為安全保證要求解決如何正確有效地實施這些功能數(shù)字按保證程度逐漸增高8.1數(shù)據(jù)庫安全概述8.2一般安全機制在一般計算機系統(tǒng)中，安全措施是一級一級設置的：用戶要求進入計算機系統(tǒng)時，系統(tǒng)首先根據(jù)輸入的用戶標識進行

用戶身份認證，只有合法的用戶才準許進入計算機系統(tǒng)對于已經(jīng)進入系統(tǒng)的用戶，數(shù)據(jù)庫管理系統(tǒng)還要進行訪問控制，只允許用戶執(zhí)行合法操作；操作系統(tǒng)也會有自己的保護措施數(shù)據(jù)最后還可以進行加密，以密文形式存儲到數(shù)據(jù)庫中8.2一般安全機制安全機制主要包括用戶身份認證、訪問控制、審計、視圖和數(shù)據(jù)加密等技術(shù)。8.2一般安全機制用戶標識與認證訪問控制數(shù)據(jù)庫加密數(shù)據(jù)庫審計備份與恢復用戶標識與認證?用戶標識每個用戶在系統(tǒng)中都有一個用戶標識，由用戶名和用戶標識號（UID）兩部分組成UID在系統(tǒng)的整個生命周期內(nèi)是唯一的?透明性要求數(shù)據(jù)庫用戶安全等級不同，需建立嚴格認證機制，確保權(quán)限分配與行為責任可追溯?認證方法一些實體認證的新技術(shù)在數(shù)據(jù)庫系統(tǒng)集成中得到應用，

常用的方法有口令認證、數(shù)字證書認證、智能卡認證和生物特征識別等

8.2一般安全機制訪問控制訪問控制的目的是確保用戶對數(shù)據(jù)庫只能進行經(jīng)過授權(quán)的有關(guān)操作數(shù)據(jù)庫安全中最重要的就是確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限，同時令所有未被授權(quán)的用戶無法接近數(shù)據(jù)C2級的數(shù)據(jù)庫管理系統(tǒng)支持自主訪問控制（DAC），B1級的數(shù)據(jù)庫管理系統(tǒng)支持強制訪問控制（MAC）定義用戶權(quán)限：數(shù)據(jù)庫管理系統(tǒng)提供適當?shù)恼Z言來定義用戶權(quán)限，這些定義經(jīng)過編譯后存儲在數(shù)據(jù)字典中，被稱為安全規(guī)則或授權(quán)

規(guī)則合法權(quán)限檢查：每當用戶發(fā)出存取數(shù)據(jù)庫的操作請求后，數(shù)據(jù)庫

管理系統(tǒng)就查找數(shù)據(jù)字典，根據(jù)安全規(guī)則進行合法權(quán)限檢查8.2一般安全機制自主訪問控制用戶權(quán)限由數(shù)據(jù)庫對象和操作類型兩個要素組成定義一個用戶的存取權(quán)限（授權(quán)）就是要定義這個用戶可以在哪些數(shù)據(jù)庫對象上進行哪些類型的操作非關(guān)系數(shù)據(jù)庫中，用戶只能對數(shù)據(jù)進行操作，訪問控制的數(shù)據(jù)庫

對象也僅限于數(shù)據(jù)本身關(guān)系數(shù)據(jù)庫中，對象與操作類型如下表所示8.2一般安全機制強制訪問控制數(shù)據(jù)庫管理系統(tǒng)所管理的全部實體被分為主體和客體兩大類主體是系統(tǒng)中的活動實體，既包括數(shù)據(jù)庫管理系統(tǒng)所管理的實際

用戶，也包括代表用戶的各進程。敏感度標記為許可證級別客體是系統(tǒng)中的被動實體，是受主體操縱的，包括文件、基本表、索引、視圖等。敏感度標記為密級絕密（TS）≥機密（S）≥可信（C）≥公開（P）主體對客體的訪問規(guī)則：①僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體②僅當主體的許可證級別小于或等于客體的密級時，該主體才能寫相應的客體8.2一般安全機制強制訪問控制較高級別的安全保護要包含較低級別的所有保護在實現(xiàn)強制訪問控制時首先要實現(xiàn)自主訪問控制，即MAC與DAC共同構(gòu)成數(shù)據(jù)庫管理系統(tǒng)的安全機制8.2一般安全機制數(shù)據(jù)庫加密數(shù)據(jù)庫加密是防止數(shù)據(jù)庫數(shù)據(jù)在存儲和傳輸中失密的有效手段加密的基本思想是根據(jù)一定的算法將原始數(shù)據(jù)變換為不可直接識別的格式，從而使不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容對數(shù)據(jù)庫加密必然會帶來數(shù)據(jù)存儲與索引、密鑰分配與管理等一系列問題，同時加密也會顯著地降低數(shù)據(jù)庫的訪問與運行效率保密性與可用性之間不可避免地存在沖突，需要妥善解決二者之間的矛盾8.2一般安全機制數(shù)據(jù)庫加密機制（1）庫內(nèi)加密：庫內(nèi)加密在數(shù)據(jù)庫管理系統(tǒng)內(nèi)核層實現(xiàn)加密，加密/解密過程對用戶與應用透明，數(shù)據(jù)在物理存取之前完成加密/解密

工作

加密功能強，并且加密功能集成為數(shù)據(jù)庫管理系統(tǒng)的功能，可以實現(xiàn)加密功能與數(shù)據(jù)庫管理系統(tǒng)之間的無縫耦合對數(shù)據(jù)庫應用來說，庫內(nèi)加密方式是完全透明的（2）庫外加密：加密/解密過程發(fā)生在數(shù)據(jù)庫管理系統(tǒng)之外，由數(shù)據(jù)庫管理系統(tǒng)管理密文。加密/解密過程大多在客戶端實現(xiàn)，有的由

專門的加密服務器或硬件完成在新興的外包數(shù)據(jù)庫服務模式中，數(shù)據(jù)庫服務器由非可信的第三方提供，僅用來運行標準的數(shù)據(jù)庫管理系統(tǒng)，要求加密/解密操作都在客戶端完成8.2一般安全機制加密粒度（1）表加密：表加密的對象是整個表類似于操作系統(tǒng)中文件加密的方法，即每個表與不同的表密鑰

運算，形成密文后存儲較為簡單，但因為對表中任何記錄或數(shù)據(jù)項的訪問都需要將其

所在表的所有數(shù)據(jù)快速解密，因而執(zhí)行效率很低，浪費了大量的

系統(tǒng)資源（2）屬性加密：屬性加密又稱域加密或字段加密，即以表中的列為單位進行加密在一般而言，屬性的個數(shù)少于記錄的條數(shù)，需要的密鑰數(shù)相對較少如果只有少數(shù)屬性需要加密，那么屬性加密是可選的方法8.2一般安全機制加密粒度（3）記錄加密：將表中的一條記錄作為加密的單位當數(shù)據(jù)庫中需要加密的記錄數(shù)比較少時，采用這種方法是比較

好的（4）數(shù)據(jù)元素加密：以記錄中每個字段的值為單位進行加密，數(shù)據(jù)元素是數(shù)據(jù)庫中最小的加密粒度系統(tǒng)的安全性與靈活性最高，但是實現(xiàn)技術(shù)也最為復雜抗攻擊能力得到提高，但是需要引入大量的密鑰一般需要周密設計自動生成密鑰的算法，密鑰管理的復雜度大大

增加，同時系統(tǒng)效率也受到影響目前采用最多的加密粒度是數(shù)據(jù)元素，加密后還應當允許用戶以

不同的粒度進行訪問8.2一般安全機制加密算法（1）對稱密鑰算法：解密密鑰和加密密鑰相同，或解密密鑰由加密密鑰推出序列算法：一次只對明文中的單個位或字節(jié)運算，如RC4分組算法（數(shù)據(jù)庫加密一般采?。簩γ魑姆纸M后以組為單位

進行運算，如DES運算速度比非對稱密鑰算法快很多，二者相差2～3個數(shù)量級（2）非對稱密鑰算法（公開密鑰算法）：解密密鑰不同于加密密鑰，并且從解密密鑰推出加密密鑰在計算上是不可行的加密密鑰公開，解密密鑰是由用戶秘密保管的私有密鑰，如RSA每個用戶有自己的密鑰對，而作為數(shù)據(jù)庫加密的密鑰如果因人而異，將產(chǎn)生異常龐大的數(shù)據(jù)存儲量8.2一般安全機制密鑰管理（1）集中密鑰管理設立密鑰管理中心，在建立數(shù)據(jù)庫時，密鑰管理中心負責產(chǎn)生

密鑰并對數(shù)據(jù)加密，形成一張密鑰表方便用戶使用和管理，但密鑰一般由數(shù)據(jù)庫管理人員控制，權(quán)限過于集中（2）多級密鑰管理機制以加密粒度為數(shù)據(jù)元素的三級密鑰管理機制為例，整個系統(tǒng)的密鑰由一個主密鑰、每個表上的表密鑰及各個數(shù)據(jù)元素密鑰組成表密鑰被主密鑰加密后以密文形式保存在數(shù)據(jù)字典中，數(shù)據(jù)元素

密鑰由主密鑰及數(shù)據(jù)元素所在行、列通過某種函數(shù)自動生成，一般不需要保存根據(jù)加密粒度的不同，系統(tǒng)所產(chǎn)生的密鑰數(shù)量也不同加密粒度越小，所產(chǎn)生的密鑰數(shù)量越多，密鑰管理也就越復雜8.2一般安全機制數(shù)據(jù)庫審計數(shù)據(jù)庫審計是指監(jiān)視和記錄用戶對數(shù)據(jù)庫所施加的各種操作的機制按照TCSEC/TDI標準，審計功能是數(shù)據(jù)庫系統(tǒng)達到C2以上安全

級別后必不可少的一項指標?審計分類語句審計、特權(quán)審計、模式對象審計和資源審計?策略庫數(shù)據(jù)庫本身可選的審計規(guī)則和管理員設計的觸發(fā)策略機制?粒度與對象一般必須審計到對數(shù)據(jù)庫記錄與字段一級的訪問，需要消耗大量的存儲空間，同時會使系統(tǒng)的響應速度降低，給系統(tǒng)運行效率

帶來影響8.2一般安全機制數(shù)據(jù)庫審計（1）審計事件服務器事件：審計數(shù)據(jù)庫服務器發(fā)生的事件，包含數(shù)據(jù)庫服務器的啟動、停止、數(shù)據(jù)庫服務器配置文件的重新加載系統(tǒng)權(quán)限：對系統(tǒng)擁有的結(jié)構(gòu)或模式對象進行操作的審計，要求該操作的權(quán)限是通過系統(tǒng)權(quán)限獲得的語句事件：對SQL語句及數(shù)據(jù)控制語言語句的審計模式對象事件：對特定模式對象進行select或數(shù)據(jù)操作作的審計（2）審計功能提供多種審計查閱方式提供多套審計規(guī)則提供審計分析和報表功能提供審計日志管理功能提供查詢審計設置及審計記錄信息的專門視圖8.2一般安全機制數(shù)據(jù)庫備份（1）冷備份即脫機備份：沒有終端用戶訪問數(shù)據(jù)庫時關(guān)閉數(shù)據(jù)庫并將其備份在保持數(shù)據(jù)完整性方面顯然最有保障，但不適合全天候運行（2）熱備份即聯(lián)機備份：當數(shù)據(jù)庫正在運行時進行的備份在備份時，日志文件將需要進行數(shù)據(jù)更新的指令“堆起來”，并不進行真正的物理更新，因此數(shù)據(jù)庫能被完整地備份備份結(jié)束后，進行真正的物理更新（3）邏輯備份從數(shù)據(jù)庫中導出數(shù)據(jù)并寫入一個輸出文件，該文件的格式一般與原數(shù)據(jù)庫的文件格式不同，是原數(shù)據(jù)庫中數(shù)據(jù)內(nèi)容的一個映像一般用于增量備份，即備份那些在上次備份以后改變的數(shù)據(jù)8.2一般安全機制數(shù)據(jù)庫恢復（1）基于備份的恢復周期性地備份數(shù)據(jù)庫當數(shù)據(jù)庫失效時，可用最近一次的數(shù)據(jù)庫備份來恢復數(shù)據(jù)庫（2）基于運行時日志的恢復運行時日志文件用來記錄對數(shù)據(jù)庫每一次更新的文件重新裝入數(shù)據(jù)庫副本，系統(tǒng)自動正向掃描日志文件（3）基于鏡像數(shù)據(jù)庫的恢復數(shù)據(jù)庫鏡像是在另一個磁盤上復制數(shù)據(jù)庫作為實時副本當主數(shù)據(jù)庫更新時，數(shù)據(jù)庫管理系統(tǒng)自動將更新后的數(shù)據(jù)復制到鏡像數(shù)據(jù)庫，始終使鏡像數(shù)據(jù)和主數(shù)據(jù)保持一致由于數(shù)據(jù)鏡像通過復制數(shù)據(jù)實現(xiàn)，頻繁的復制操作會降低系統(tǒng)

運行效率，因此一般在對效率要求滿足的情況下使用8.2一般安全機制8.3SQLServer安全機制SQLServer數(shù)據(jù)庫是Microsoft開發(fā)設計的一個關(guān)系數(shù)據(jù)庫管理系統(tǒng)（RDBMS），是主流數(shù)據(jù)庫之一SQLServer安全涉及4個方面：平臺、身份認證、對象（包括數(shù)據(jù)）及訪問系統(tǒng)的應用程序平臺包括物理硬件，將客戶端連接到數(shù)據(jù)庫服務器的聯(lián)網(wǎng)系統(tǒng)，以及用于處理數(shù)據(jù)庫請求的二進制文件。身份認證通常需要用戶提供用戶名和對應的密碼，一個用戶登錄成功就是有效的，就可以訪問服務器。主體是指獲得SQLServer訪問權(quán)限的個體、組和進程，安全對象是服務器、數(shù)據(jù)庫和數(shù)據(jù)庫包含的對象。應用程序安全性包括客戶端程序、WindowsDefender應用程序控制（WDAC）等數(shù)據(jù)庫環(huán)境安全（1）物理網(wǎng)絡安全性實現(xiàn)物理網(wǎng)絡安全首先要防止未經(jīng)授權(quán)的用戶訪問網(wǎng)絡數(shù)據(jù)庫主機應置于受物理保護的場所（如上鎖的機房），定期備份數(shù)據(jù)并存儲在安全位置不得將SQLServer直接連接到Internet（2）操作系統(tǒng)安全性減少外圍應用：停止或禁用未使用的組件，限制SQLServer以“最小權(quán)限”運行使用防火墻隔離邏輯網(wǎng)絡通信，配置為強制執(zhí)行數(shù)據(jù)安全性策略8.3SQLServer安全機制數(shù)據(jù)庫環(huán)境安全（3）文件安全性使用操作系統(tǒng)文件進行操作和數(shù)據(jù)存儲SQLServer實例的程序文件和數(shù)據(jù)文件無法安裝在可移動磁盤、壓縮文件系統(tǒng)或系統(tǒng)文件目錄安裝防病毒軟件時需排除SQLServer文件夾和文件類型系統(tǒng)數(shù)據(jù)庫和用戶數(shù)據(jù)庫可選擇SMB文件服務器作為存儲器。（4）網(wǎng)絡安全性SQLServer2022支持TDS8.0和TLS1.3TDS協(xié)議用于客戶端連接，TLS加密傳輸數(shù)據(jù)TDS8.0強制加密，與HTTPS協(xié)議一致8.3SQLServer安全機制身份認證SQLServer支持兩種模式：Windows身份認證模式，Windows身份認證和SQLServer身份認證混合模式身份認證負責對登錄到SQLServer數(shù)據(jù)庫引擎的單個用戶賬戶進行身份認證SQLServer數(shù)據(jù)庫支持基于Windows身份認證的登錄名和基于SQLServer身份認證的登錄名Windows身份認證模式會啟用

Windows身份認證并禁用

SQLServer身份認證混合模式會同時啟用Windows身份認證和SQLServer身份認證8.3SQLServer安全機制Windows身份認證當用戶通過Windows用戶賬戶連接時，SQLServer使用操作系統(tǒng)中的Windows主體驗證賬戶名和密碼。用戶身份由Windows進行確認，SQLServer不要求提供密碼，也不執(zhí)行身份認證使用Kerberos

安全協(xié)議，支持密碼復雜性、賬戶鎖定和密碼過期通過域級別管理訪問，推薦作為默認模式連接稱為“可信連接”，依賴Windows系統(tǒng)完成身份驗證8.3SQLServer安全機制SQLServer身份認證選擇混合模式時，Windows身份認證和SQLServer身份認證將同時被啟用使用SQLServer身份認證時，系統(tǒng)會基于Windows用戶賬戶在SQLServer中創(chuàng)建SQLServer登錄名SQLServer身份認證要求所有SQLServer賬戶的密碼為強密碼，并且提供了3種可供SQLServer登錄時選擇使用的密碼策略（1）用戶在下次登錄時必須更改密碼（2）強制密碼過期策略（3）強制實施密碼策略8.3SQLServer安全機制訪問控制完成身份認證后，用戶會連接到角色。角色是被授權(quán)的主體，權(quán)限管理系統(tǒng)會將權(quán)限添加到角色數(shù)據(jù)庫引擎中的權(quán)限在服務器級別和數(shù)據(jù)庫級別分別進行管理授權(quán)管理系統(tǒng)通過安全主體和安全對象實現(xiàn)主體是可以請求SQLServer資源的實體。與SQLServer授權(quán)

模型的其他組件相同，主體也可以按層次結(jié)構(gòu)排列為Windows、服務器和數(shù)據(jù)庫，并且同一個層次的主體還分為可分割主體和不可分割主體主體的概念并不局限于用戶，還涉及一些僅供內(nèi)部系統(tǒng)使用的實體8.3SQLServer安全機制服務器級角色SQLServer提供服務器級角色以幫助用戶管理服務器上的權(quán)限8.3SQLServer安全機制數(shù)據(jù)庫級角色SQLServer提供了若干數(shù)據(jù)庫級角色來管理數(shù)據(jù)庫中的權(quán)限8.3SQLServer安全機制安全對象安全對象是SQLServer數(shù)據(jù)庫引擎授權(quán)系統(tǒng)控制對其進行訪問的資源安全對象范圍有服務器、數(shù)據(jù)庫和架構(gòu)服務器安全對象包含：可用性組、端點、登錄、服務器角色、數(shù)據(jù)庫數(shù)據(jù)庫安全對象包含：應用程序角色、Assembly（程序集）、非對稱密鑰、證書、合約、全文目錄、全文非索引子表、消息類型、遠程服務綁定、數(shù)據(jù)庫角色、路由、架構(gòu)、搜索屬性

列表、服務、對稱密鑰和用戶架構(gòu)安全對象包含：類型、XML架構(gòu)集合、對象類。

對象類又包含以下成員：聚合、函數(shù)、過程、隊列、同義詞、表、查看、外部表8.3SQLServer安全機制權(quán)限與權(quán)限層次結(jié)構(gòu)每個SQLServer安全對象都有可以授予主體的關(guān)聯(lián)權(quán)限數(shù)據(jù)庫引擎分配登錄名和服務器角色的服務器級別，并對分配的數(shù)據(jù)庫用戶和數(shù)據(jù)庫角色的數(shù)據(jù)庫級別進行權(quán)限管理SQLServer2019（15.x）的權(quán)限總數(shù)是

248個，這些權(quán)限包括了針對各種安全對象的各種操作GRANTSELECTONSCHEMA::HumanResourcesTOrole_HumanResourcesDept;REVOKESELECTONSCHEMA::HumanResourcesTOrole_HumanResourcesDept;被授權(quán)主體是角色role_HumanResourcesDept，授予權(quán)限是模式HumanResources的查找權(quán)限第一句就是權(quán)限授予，第二句則是權(quán)限撤銷8.3SQLServer安全機制權(quán)限涉及的具體操作（1）CONTROL（2）ALTER（3）ALTERANY<服務器安全對象>（4）ALTERANY<數(shù)據(jù)庫安全對象>（5）TAKEOWNERSHIP（6）IMPERSONATE<登錄名>（7）IMPERSONATE<用戶>（8）CREATE<服務器安全對象>（9）CREATE<數(shù)據(jù)庫安全對象>（10）CREATE<架構(gòu)包含的安全對象>（11）VIEWDEFINITION（12）REFERENCES8.3SQLServer安全機制權(quán)限檢查算法權(quán)限檢查算法包括重疊的組成員關(guān)系和所有權(quán)鏈接、顯式和隱式

權(quán)限，并且會受包含安全實體的安全類的權(quán)限影響算法包含3個基本元素：安全上下文、權(quán)限空間和必需的權(quán)限具體步驟如下：（1）如果登錄名是sysadmin，固定服務器角色的成員或用戶是當前數(shù)據(jù)庫中的dbo

用戶，則繞過權(quán)限檢查（2）如果所有權(quán)鏈接適用且以前針對鏈中對象的訪問權(quán)限檢查通過，則允許訪問（3）聚合與調(diào)用方關(guān)聯(lián)的服務器級、數(shù)據(jù)庫級和已簽名模塊的標識，以創(chuàng)建安全上下文（4）對于該安全上下文，收集為權(quán)限空間授予或拒絕的所有權(quán)限（5）標識必需的權(quán)限（6）如果對于權(quán)限空間中的對象，直接或隱式拒絕授予安全上下文中任何

標識必需的權(quán)限，則權(quán)限檢查失?。?）如果所需權(quán)限未被拒絕，并且所需權(quán)限包含GRANT或GRANTWITHGRANT權(quán)限，則傳遞權(quán)限檢查8.3SQLServer安全機制數(shù)據(jù)庫加密加密是指通過使用密鑰或密碼對數(shù)據(jù)進行處理的過程如果數(shù)據(jù)庫主機配置有誤且攻擊者獲取了敏感數(shù)據(jù)，但加密數(shù)據(jù)被盜可能會毫無影響雖然加密是確保安全性的有力工具，但它并不適用于所有數(shù)據(jù)或連接在決定是否實現(xiàn)加密時，需要考慮用戶訪問數(shù)據(jù)的方式如果用戶通過公共網(wǎng)絡訪問數(shù)據(jù)，則需要使用數(shù)據(jù)加密以增強安全性；如果所有訪問都具有某項安全Intranet配置，則不需要加密任何時候使用加密時，還應包括密鑰、密鑰和證書的維護策略8.3SQLServer安全機制加密層次結(jié)構(gòu)用戶SQLServer用分層加密和密鑰管理基礎(chǔ)結(jié)構(gòu)來加密數(shù)據(jù)每層都使用證書、非對稱密鑰和對稱密鑰的組合對它下一層進行加密8.3SQLServer安全機制加密機制-Transact-SQL函數(shù)通過使用TripleDES算法及128密鑰位長度的通行短語進行加密以下為加密參數(shù)8.3SQLServer安全機制加密機制-證書公鑰證書（通常只稱為證書）是一個數(shù)字簽名語句，它將公鑰的值綁定到擁有對應私鑰的人員、設備或服務的標識上證書是由認證中心（CA）頒發(fā)和簽名的8.3SQLServer安全機制其他加密機制?對稱密鑰對稱密鑰是加密和解密都使用的一個密鑰使用對稱密鑰進行加密和解密非?？?，適用于對數(shù)據(jù)庫中敏感

數(shù)據(jù)的日常使用?非對稱密鑰非對稱密鑰由私鑰和公鑰組成非對稱加密和解密相對來說消耗的資源較多，可用于加密對稱

密鑰，以便存儲在數(shù)據(jù)庫中?透明數(shù)據(jù)加密TDE是使用對稱密鑰進行加密的一種特殊情況使用稱為數(shù)據(jù)庫加密密鑰的對稱密鑰加密整個數(shù)據(jù)庫數(shù)據(jù)庫加密密鑰受由數(shù)據(jù)庫主密鑰或存儲在EKM模塊中的非

對稱密鑰保護的其他密鑰或證書保護8.3SQLServer安全機制加密算法選擇加密算法定義了未經(jīng)授權(quán)的用戶無法輕松逆轉(zhuǎn)的數(shù)據(jù)轉(zhuǎn)換在使用SQLServer時，一般考慮以下因素（1）通常比較弱的加密占用更多的CPU資源（2）長密鑰通常會比短密鑰生成更強的加密（3）非對稱加密比對稱加密速度慢（4）如果密鑰僅存儲在本地，通常推薦使用對稱加密；如果需要

無線共享密鑰，則推薦使用非對稱加密（5）如果加密大量數(shù)據(jù)，應使用對稱密鑰來加密數(shù)據(jù)，并使用非

對稱密鑰來加密該對稱密鑰（6）不能壓縮已加密的數(shù)據(jù)，但可以加密已壓縮的數(shù)據(jù)。如果使用壓縮，則應在加密前壓縮數(shù)據(jù)8.3SQLServer安全機制透明數(shù)據(jù)加密TDE對數(shù)據(jù)和日志文件進行實時I/O加密和解密將TDE與SQLDatabase一起使用時，SQL數(shù)據(jù)庫會自動創(chuàng)建存儲在數(shù)據(jù)庫中的服務器master

級證書若要在SQL數(shù)據(jù)庫上移動TDE數(shù)據(jù)庫，無須為移動操作解密數(shù)據(jù)庫8.3SQLServer安全機制數(shù)據(jù)庫加密密鑰首次啟動SQLServer實例時，SQLServer在初始化期間創(chuàng)建對稱

密鑰，用于加密存儲在SQLServer中的敏感數(shù)據(jù)公鑰和私鑰由操作系統(tǒng)創(chuàng)建，用于保護對稱密鑰?服務主密鑰（ServiceMasterKey,SMK）由SQLServer實例生成，是加密層次結(jié)構(gòu)的根通過Windows數(shù)據(jù)保護API加密，依賴服務賬戶或計算機憑據(jù)解密功能：加密數(shù)據(jù)庫主密鑰（DMK）、鏈接服務器密碼和憑據(jù)?數(shù)據(jù)庫主密鑰（DatabaseMasterKey,DMK）用于保護數(shù)據(jù)庫中證書私鑰和非對稱密鑰的對稱密鑰使用SMK加密副本存儲在數(shù)據(jù)庫和master系統(tǒng)數(shù)據(jù)庫中必須使用OPENMASTERKEY語句和密碼打開未使用SMK進行加密的DMK8.3SQLServer安全機制數(shù)據(jù)庫加密密鑰使用SQLServer中包含的工具管理對稱密鑰（1）備份服務器和數(shù)據(jù)庫密鑰的副本，以便使用這些密鑰來恢復服務器安裝，或作為計劃遷移的一部分（2）將以前保存的密鑰還原到數(shù)據(jù)庫（3）當不能再訪問加密數(shù)據(jù)時，刪除數(shù)據(jù)庫中的加密數(shù)據(jù)（4）當密鑰的安全性受到威脅時，重新創(chuàng)建密鑰并重新對數(shù)據(jù)進行加密作為安全性方面的最佳做法，應定期重新創(chuàng)建密鑰以保護服務器，使其

能夠抵御試圖解開密鑰的攻擊（5）在服務器擴展部署（多個服務器同時共享單個數(shù)據(jù)庫，以及為該

數(shù)據(jù)庫提供可逆加密的密鑰）中，添加或刪除服務器實例8.3SQLServer安全機制數(shù)據(jù)庫審計組件SQLServer審計的組件組合生成的輸出稱為SQLServer審計，如同

報表定義與圖形和數(shù)據(jù)元素組合生成報表一樣?服務器審計規(guī)范對象屬于SQLServer審計收集許多由擴展事件功能引發(fā)的服務器級操作組審計操作組是預定義的操作組，它們是數(shù)據(jù)庫引擎中發(fā)生的原子事件這些操作將被發(fā)送給審計事件，審計事件將它們記錄到目標中?數(shù)據(jù)庫審計規(guī)范對象屬于SQLServer審計收集由擴展事件功能引發(fā)的數(shù)據(jù)庫級審計操作審計操作組是預定義的操作組，它們都位于SQLServer數(shù)據(jù)庫作用域這些操作將被發(fā)送給審計事件，審計事件將它們記錄到目標中8.3SQLServer安全機制使用SQLServer審計可以使用SQLServerManagementStudio或Transact-SQL定義

審計創(chuàng)建和使用審計的一般過程如下（1）創(chuàng)建審計并定義目標（2）創(chuàng)建映射到審計的服務器審計規(guī)范或數(shù)據(jù)庫審計規(guī)范，并啟用審計規(guī)范（3）啟用審計（4）通過使用Windows的事件查看器、日志文件查看器或fn_get_audit_file

函數(shù)來讀取審計事件8.3SQLServer安全機制使用Transact-SQL創(chuàng)建和管理審計使用DDL語句、動態(tài)管理視圖和函數(shù)及目錄視圖來實現(xiàn)SQLServer審計