Поделиться через


Обеспечение безопасности SQL Server

Обеспечение безопасности SQL Server можно представить как последовательность шагов в четырех областях: платформа, проверка подлинности, объекты (в том числе данные) и приложения, которые обращаются к системе. В приведенных ниже разделах описано создание и реализация эффективного плана обеспечения безопасности.

Дополнительные сведения о безопасности SQL Server см. на веб-сайте SQL Server. Они включают руководство с рекомендациями и контрольный список безопасности. Кроме того, этот веб-сайт содержит сведения о пакетах обновлений и файлы для загрузки.

Безопасность платформы и сети

Платформа для SQL Server включает в себя физическое оборудование и сетевые компьютеры, с помощью которых клиенты соединяются с серверами базы данных, а также двоичные файлы, применяемые для обработки запросов базы данных.

Физическая безопасность

Рекомендуется строго ограничивать доступ к физическим серверам и компонентам оборудования. Например, оборудование сервера базы данных и сетевые устройства должны находиться в закрытых охраняемых помещениях. Доступ к резервным носителям также следует ограничить. Для этого их рекомендуется хранить в отдельных охраняемых помещениях.

Реализация физической сетевой безопасности начинается с запрета доступа неавторизованных пользователей к сети. Следующая таблица содержит дополнительные сведения об источниках сведений по сетевой безопасности.

Сведения о

См.

SQL Server Compact и сетевой доступ к другим выпускам SQL Server

Раздел «Настройка и обеспечение безопасности среды сервера» в электронной документации по SQL Server Compact

Безопасность операционной системы

В состав пакетов обновления и отдельных обновлений для операционной системы входят важные дополнения, позволяющие усилить безопасность. Все обновления для операционной системы необходимо устанавливать только после их тестирования с приложениями базы данных.

Кроме того, эффективную безопасность можно реализовать с помощью брандмауэров. Брандмауэр, распределяющий или ограничивающий сетевой трафик, можно настроить в соответствии с корпоративной политикой информационной безопасности. Использование брандмауэра повышает безопасность на уровне операционной системы, обеспечивая узкую область, на которой можно сосредоточить меры безопасности. Следующая таблица содержит дополнительные сведения по использованию брандмауэра с SQL Server.

Сведения о

См.

Настройка брандмауэра для работы с SQL Server

Настройка брандмауэра Windows для доступа к компоненту Database Engine

Настройка брандмауэра для работы со службами Службы Integration Services

Настройка параметров брандмауэра Windows для доступа к службам SSIS

Настройка брандмауэра для работы со службами Analysis Services

Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services

Открытие конкретных портов брандмауэра, чтобы предоставить доступ к SQL Server

Настройка брандмауэра Windows для разрешения доступа к SQL Server

Настройка поддержки расширенной защиты для проверки подлинности с помощью привязки каналов и привязки служб

Соединение с компонентом Database Engine с использованием расширенной защиты

Уменьшение контактной зоны является мерой безопасности, предполагающей остановку или отключение неиспользуемых компонентов. Уменьшение контактной зоны повышает уровень безопасности за счет уменьшения числа возможных способов атаковать систему. Важную роль в ограничении контактной зоны SQL Server играет запуск необходимых служб по принципу «минимума прав доступа», согласно которому службам и пользователям предоставляются только необходимые для работы права. Следующая таблица содержит дополнительные сведения по службам и доступу к системе.

Сведения о

См.

Службы, необходимые для SQL Server

Настройка учетных записей службы Windows и разрешений

Если в системе SQL Server используются службы IIS, необходимы дополнительные действия для обеспечения безопасности контактной зоны платформы. Следующая таблица содержит сведения о SQL Server и службах IIS.

Сведения о

См.

Безопасность служб IIS в SQL Server Compact

«Безопасность служб IIS» в электронной документации по SQL Server Compact

Проверка подлинности служб Службы Reporting Services

Проверка подлинности в службах Reporting Services

SQL Server Compact и доступ к службам IIS

«Блок-схема безопасности служб IIS» в электронной документации по SQL Server Compact

Безопасность файлов операционной системы SQL Server

SQL Server использует файлы операционной системы для работы и хранения данных. Оптимальным решением для обеспечения безопасности файлов будет ограничение доступа к ним. Следующая таблица содержит сведения об этих файлах.

Сведения о

См.

Исполняемые файлы SQL Server

Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server

Обновления и пакеты обновления для SQL Server позволяют повысить безопасность. Для определения новейшего доступного пакета обновления для SQL Server перейдите на веб-сайт SQL Server.

С помощью приведенного ниже скрипта можно определить установленный в системе пакет обновления.

SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
GO

Безопасность участников и объектов базы данных

Участники — это отдельные пользователи, группы и процессы, которым предоставлен доступ к ресурсам SQL Server. Защищаемые объекты — это сервер, база данных и объекты, которые содержит база данных. У каждого из них существует набор разрешений, с помощью которых можно уменьшить контактную зону SQL Server. Следующая таблица содержит сведения об участниках и защищаемых объектах.

Сведения о

См.

Пользователи, роли и процессы сервера и базы данных

Участники (компонент Database Engine)

Безопасность объектов сервера и базы данных

Защищаемые объекты

Иерархия безопасности SQL Server

Иерархия разрешений (компонент Database Engine)

Шифрование и сертификаты

Шифрование не решает проблемы управления доступом. Однако оно повышает безопасность, ограничивая потерю данных даже в тех редких случаях, когда средства управления доступом удается обойти. Например, если главный компьютер, на котором установлена база данных, был настроен неправильно, и злонамеренный пользователь смог получить конфиденциальные данные (например, номера кредитных карточек), то украденная информация будет бесполезна, если она была предварительно зашифрована. В следующей таблице содержатся дополнительные сведения о шифровании в SQL Server.

Сведения о

См.

Иерархия шифрования в SQL Server

Иерархия средств шифрования

Реализация безопасных соединений

Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server)

Функции шифрования

Криптографические функции (Transact-SQL)

Сертификаты — это совместно используемые на двух серверах программные «ключи», которые позволяют обеспечить безопасную передачу данных с помощью надежной проверки подлинности. SQL Server позволяет создавать и использовать сертификаты для повышения безопасности объектов и соединений. Следующая таблица содержит дополнительные сведения об использовании сертификатов с SQL Server.

Сведения о

См.

Создание сертификата, который будет использоваться SQL Server

Инструкция CREATE CERTIFICATE (Transact-SQL)

Использование сертификатов при зеркальном отображении базы данных

Использование сертификатов для конечной точки зеркального отображения базы данных (Transact-SQL)

Безопасность приложений

Безопасность в SQL Server, помимо прочего, обеспечивается разработкой защищенных клиентских приложений.

Дополнительные сведения об обеспечении безопасности клиентских приложений на сетевом уровне см. в разделе Конфигурация клиентской сети.

Средства, программы, представления и функции безопасности SQL Server

В SQL Server предусмотрены средства, программы, представления и функции, которые используются для настройки и управления безопасностью.

Средства и программы безопасности SQL Server

Следующая таблица содержит сведения о средствах и программах SQL Server, с помощью которых можно настраивать и администрировать безопасность.

Сведения о

См.

Соединение с SQL Server, настройка сервера и управление им

Использование среды SQL Server Management Studio

Соединение с SQL Server и запуск запросов из командной строки

Программа sqlcmd

Настройка сети и управление SQL Server

Диспетчер конфигурации SQL Server

Включение и отключение компонентов с помощью средства управления на основе политики

Администрирование серверов с помощью управления на основе политик

Управление симметричными ключами для сервера отчетов

Программа rskeymgmt (SSRS)

Представления каталога и функции безопасности SQL Server

В компоненте Компонент Database Engine сведения о безопасности доступны через несколько представлений и функций, оптимизированных для наибольшей производительности и полезности. Следующая таблица содержит сведения о представлениях и функциях безопасности.

Сведения о

См.

Представления каталога безопасности SQL Server возвращают сведения о разрешениях, участниках, ролях и других сущностях уровня базы данных и сервера. Кроме того, существуют представления каталога, содержащие сведения о ключах шифрования, сертификатах и учетных данных.

Представления каталога безопасности (Transact-SQL)

Функции безопасности SQL Server, которые возвращают сведения о текущем пользователе, разрешениях и схемах.

Функции безопасности (Transact-SQL)

Динамические административные представления SQL Server. 

Динамические административные представления и функции, связанные с безопасностью (Transact-SQL)

См. также

Анализ безопасности при установке SQL Server

Защита и обеспечение безопасности (компонент Database Engine)