Поделиться через


Обеспечение безопасности SQL Server

Обеспечение безопасности SQL Server можно представить как последовательность шагов в четырех областях: платформа, проверка подлинности, объекты (в том числе данные) и приложения, которые обращаются к системе. В приведенных ниже разделах описано создание и реализация эффективного плана обеспечения безопасности.

Дополнительные сведения о безопасности SQL Server см. на веб-сайте SQL Server. Они включают руководство с рекомендациями и контрольный список безопасности. Кроме того, этот веб-сайт содержит сведения о пакетах обновлений и файлы для загрузки.

Безопасность платформы и сети

Платформа для SQL Server включает в себя физическое оборудование и сетевые компьютеры, с помощью которых клиенты соединяются с серверами базы данных, а также двоичные файлы, применяемые для обработки запросов базы данных.

Физическая безопасность

Рекомендуется строго ограничивать доступ к физическим серверам и компонентам оборудования. Например, оборудование сервера базы данных и сетевые устройства должны находиться в закрытых охраняемых помещениях. Доступ к резервным носителям также следует ограничить. Для этого их рекомендуется хранить в отдельных охраняемых помещениях.

Реализация физической сетевой безопасности начинается с запрета доступа неавторизованных пользователей к сети. Следующая таблица содержит дополнительные сведения об источниках сведений по сетевой безопасности.

Объекты

Сведения

Сети и SQL Server

Сетевые протоколы и конечные точки потока табличных данных

Указание портов для SQL Server и ограничение доступа к ним

Конфигурирование сетевых протоколов сервера и сетевых библиотек

Ограничение сетевого доступа к SQL Server

Ограничение сетевого доступа

SQL Server Compact 3.5 с пакетом обновления 2 (SP2) и сетевой доступ к другим выпускам SQL Server

Раздел «Настройка и обеспечение безопасности среды сервера» в электронной документации по SQL Server Compact 3.5 с пакетом обновления 2 (SP2)

Стратегии резервного копирования и восстановления

Вопросы безопасности при восстановлении и резервировании.

Безопасность операционной системы

В состав пакетов обновления и отдельных обновлений для операционной системы входят важные дополнения, позволяющие усилить безопасность. Все обновления для операционной системы необходимо устанавливать только после их тестирования с приложениями базы данных.

Кроме того, эффективную безопасность можно реализовать с помощью брандмауэров. Брандмауэр, распределяющий или ограничивающий сетевой трафик, можно настроить в соответствии с корпоративной политикой информационной безопасности. Использование брандмауэра повышает безопасность на уровне операционной системы, обеспечивая узкую область, на которой можно сосредоточить меры безопасности. Следующая таблица содержит дополнительные сведения по использованию брандмауэра с SQL Server.

Сведения о

См. в разделах

Настройка брандмауэра для работы с SQL Server

Как настроить брандмауэр Windows для доступа к компоненту Database Engine

Настройка брандмауэра для работы со службами Integration Services

Настройка параметров брандмауэра Windows для доступа к службам Integration Services

Настройка брандмауэра для работы со службами Службы Analysis Services

настроить брандмауэр Windows для доступа к службам Analysis Services

Настройка брандмауэра для работы со службами Службы Reporting Services

Контрольный список развертывания сервера

Открытие конкретных портов брандмауэра, чтобы предоставить доступ к SQL Server

Opening Ports in the Firewall

Настройка поддержки расширенной защиты при проверке подлинности с помощью привязки каналов и привязки служб

Соединение с компонентом Database Engine с использованием расширенной защиты

Уменьшение контактной зоны является мерой безопасности, предполагающей остановку или отключение неиспользуемых компонентов. Уменьшение контактной зоны повышает уровень безопасности за счет уменьшения числа возможных способов атаковать систему. Важную роль в ограничении контактной зоны SQL Server играет запуск необходимых служб по принципу «минимума прав доступа», согласно которому службам и пользователям предоставляются только необходимые для работы права. Следующая таблица содержит дополнительные сведения по службам и доступу к системе.

Сведения о

См. в разделах

Службы, необходимые для SQL Server

Настройка учетных записей служб Windows

Ограничение входа на сервер

Ограничение интерактивного доступа

Локальные административные права

Предоставление прав локального администрирования

Если в системе SQL Server используются службы IIS, чтобы обеспечить безопасность контактной зоны платформы, необходимы дополнительные шаги. Следующая таблица содержит сведения о SQL Server и службах IIS.

Сведения о

См. в разделах

Безопасность служб IIS в SQL Server Compact 3.5 с пакетом обновления 2 (SP2)

«Безопасность служб IIS» в электронной документации по SQL Server Compact 3.5 с пакетом обновления 2 (SP2)

Использование веб-служб в SQL Server и службах IIS

Оптимальные методы использования собственных веб-служб с поддержкой XML

Серверы отчетов и доступ в Интернет

Планирование развертывания в экстрасети или Интернете

Проверка подлинности служб Службы Reporting Services

Проверка подлинности в службах Reporting Services

SQL Server Compact 3.5 с пакетом обновления 2 (SP2) и доступ к службам IIS

«Блок-схема безопасности служб IIS» в электронной документации по SQL Server Compact 3.5 с пакетом обновления 2 (SP2)

Безопасность файлов операционной системы SQL Server

SQL Server использует файлы операционной системы для работы и хранения данных. Оптимальным решением для обеспечения безопасности файлов будет ограничение доступа к ним. Следующая таблица содержит сведения об этих файлах.

Сведения о

См. в разделах

Исполняемые файлы SQL Server

Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server

Безопасность файлов базы данных

Защита данных и файлов журналов

Безопасность файлов служб Службы Analysis Services

Защита программных файлов, общих компонентов и файлов данных

Обновления и пакеты обновления для SQL Server позволяют повысить безопасность. Чтобы определить новейший доступный пакет обновления для SQL Server, перейдите на веб-сайт SQL Server.

С помощью приведенного ниже скрипта можно определить установленный в системе пакет обновления.

SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
GO

Безопасность участников и объектов базы данных

Участники — это отдельные пользователи, группы и процессы, которым предоставлен доступ к ресурсам SQL Server. Защищаемые объекты — это сервер, база данных и объекты, которые содержит база данных. У каждого из них существует набор разрешений, с помощью которых можно уменьшить контактную зону SQL Server. Следующая таблица содержит сведения об участниках и защищаемых объектах.

Сведения о

См. в разделах

Пользователи, роли и процессы сервера и базы данных

Участники (компонент Database Engine)

Безопасность объектов сервера и базы данных

Защищаемые объекты

Иерархия безопасности SQL Server

Иерархия разрешений (компонент Database Engine)

Дополнительные сведения о безопасности базы данных и приложений см. в разделе Идентификатор и управление доступом (компонент Database Engine).

Шифрование и сертификаты

Шифрование не решает проблемы управления доступом. Однако оно повышает безопасность, ограничивая потерю данных даже в тех редких случаях, когда средства управления доступом удается обойти. Например, если компьютер, на котором установлена база данных, был настроен неправильно, и злонамеренный пользователь смог получить конфиденциальные данные (например, номера кредитных карточек), то украденная информация будет бесполезна, если она была предварительно зашифрована. Следующая таблица содержит дополнительные сведения о шифровании в SQL Server.

Сведения о

См. в разделах

Иерархия шифрования в SQL Server

Иерархия средств шифрования

Шифрование соединений SQL Server

Шифрование соединений с SQL Server

Реализация безопасных соединений

Как включить шифрование соединений с компонентом Database Engine (диспетчер конфигурации SQL Server)

Функции шифрования

Криптографические функции (Transact-SQL)

Реализация шифрования

Инструкции по шифрованию

Настройка шифрования данных в службах Службы Analysis Services

Требуется шифрование данных

Сертификаты — это совместно используемые на двух серверах программные «ключи», которые позволяют обеспечить безопасную передачу данных с помощью надежной проверки подлинности. SQL Server позволяет создавать и использовать сертификаты для повышения безопасности объектов и соединений. Следующая таблица содержит дополнительные сведения об использовании сертификатов с SQL Server.

Сведения о

См. в разделах

Безопасные соединения с использованием сертификатов

Настройка сертификата для использования протоколом SSL

Создание сертификата, который будет использоваться SQL Server

Инструкция CREATE CERTIFICATE (Transact-SQL)

Использование сертификатов с компонентом SQL Server Service Broker

Сертификаты и компонент Service Broker

Использование сертификатов при зеркальном отображении базы данных

Использование сертификатов для зеркального отображения базы данных

Безопасность приложений

Для SQL Server рекомендуется разрабатывать защищенные клиентские приложения. Дополнительные сведения о доступе к серверу и клиентских приложениях SQL Server см. в разделе Руководство разработчика (компонент Database Engine).

Дополнительные сведения об обеспечении безопасности клиентских приложений на уровне сети см. в разделе Конфигурация клиентской сети.

Дополнительные сведения о создании приложений с собственными службами XML см. в разделе Написание клиентских приложений.

Средства, программы, представления и функции безопасности SQL Server

В SQL Server предусмотрены средства, программы, представления и функции, которые используются для настройки и управления безопасностью.

Средства и программы безопасности SQL Server

Следующая таблица содержит сведения о средствах и программах SQL Server, с помощью которых можно настраивать и администрировать безопасность.

Сведения о

См. в разделах

Соединение с SQL Server, настройка сервера и управление им

Использование среды SQL Server Management Studio

Соединение с SQL Server и запуск запросов из командной строки

Программа sqlcmd

Настройка сети и управление SQL Server

Диспетчер конфигурации SQL Server

Включение и отключение компонентов с помощью средства управления на основе политики

Администрирование серверов с помощью управления на основе политик

Управление симметричными ключами для сервера отчетов

Программа rskeymgmt

Представления каталога и функции безопасности SQL Server

В компоненте Database Engine сведения о безопасности доступны через несколько представлений и функций, оптимизированных для наибольшей производительности и полезности. Следующая таблица содержит сведения о представлениях и функциях безопасности.

Сведения о

См. в разделах

Представления каталога безопасности SQL Server возвращают сведения о разрешениях, участниках, ролях и других сущностях уровня базы данных и сервера. Кроме того, существуют представления каталога, содержащие сведения о ключах шифрования, сертификатах и учетных данных.

Представления каталога безопасности (Transact-SQL)

Функции безопасности SQL Server, которые возвращают сведения о текущем пользователе, разрешениях и схемах.

Функции безопасности (Transact-SQL)

Динамические административные представления SQL Server.

Динамические административные представления и функции, связанные с безопасностью (Transact-SQL)