Статья
09/28/2010

Обеспечение безопасности SQL Server

Защиту SQL Server можно рассматривать как последовательность действий, выполняемых в четырех областях: платформа, проверка подлинности, объекты (включая данные) и приложения, которые обращаются к системе. В приведенных ниже разделах описано создание и реализация эффективного плана обеспечения безопасности.

Дополнительные сведения о безопасности SQL Server см. на веб-узле SQL Server. Они включают руководство с рекомендациями и контрольный список безопасности. Кроме того, этот веб-узел содержит сведения о пакетах обновлений и файлы для загрузки.

Безопасность платформы и сети

Платформа для SQL Server включает в себя физическое оборудование и сетевые компьютеры, с помощью которых клиенты соединяются с серверами базы данных, а также двоичные файлы, применяемые для обработки запросов базы данных.

Физическая безопасность

Рекомендуется строго ограничивать доступ к физическим серверам и компонентам оборудования. Например, оборудование сервера базы данных и сетевые устройства должны находиться в закрытых охраняемых помещениях. Доступ к резервным носителям также следует ограничить. Для этого их рекомендуется хранить в отдельных охраняемых помещениях.

Реализация физической сетевой безопасности начинается с запрета доступа неавторизованных пользователей к сети. Следующая таблица содержит дополнительные сведения об источниках сведений по сетевой безопасности.

Объекты	Сведения
Сети и SQL Server	Сетевые протоколы и конечные точки потока табличных данных
Указание портов для SQL Server и ограничение доступа к ним	Конфигурирование сетевых протоколов сервера и сетевых библиотек
Ограничение сетевого доступа к SQL Server	Ограничение сетевого доступа
SQL Server Compact 3.5 с пакетом обновления 1 (SP1) и сетевой доступ к другим выпускам SQL Server	Раздел «Настройка и обеспечение безопасности среды сервера» в электронной документации по SQL Server Compact 3.5 с пакетом обновления 1 (SP1)
Стратегии резервного копирования и восстановления	Вопросы безопасности при восстановлении и резервировании.

Безопасность операционной системы

В состав пакетов обновления и отдельных обновлений для операционной системы входят важные дополнения, позволяющие усилить безопасность. Все обновления для операционной системы необходимо устанавливать только после их тестирования с приложениями базы данных.

Кроме того, эффективную безопасность можно реализовать с помощью брандмауэров. Брандмауэр, распределяющий или ограничивающий сетевой трафик, можно настроить в соответствии с корпоративной политикой информационной безопасности. Использование брандмауэра повышает безопасность на уровне операционной системы, обеспечивая узкую область, на которой можно сосредоточить меры безопасности. Следующая таблица содержит дополнительные сведения по использованию брандмауэра с SQL Server.

Сведения о	См. в разделах
Настройка брандмауэра для работы с SQL Server	Как настроить брандмауэр Windows для доступа к компоненту Database Engine
Настройка брандмауэра для работы со службами Integration Services	Настройка параметров брандмауэра Windows для доступа к службам Integration Services
Настройка брандмауэра для работы со службами Analysis Services	Как настроить брандмауэр Windows для доступа к службам Analysis Services
Настройка брандмауэра для работы со службами Reporting Services	Контрольный список развертывания сервера
Открытие конкретных портов брандмауэра, чтобы предоставить доступ к SQL Server	Открытие портов в брандмауэре

Уменьшение контактной зоны является мерой безопасности, предусматривающей остановку или отключение неиспользуемых компонентов. Уменьшение контактной зоны повышает уровень безопасности за счет уменьшения числа возможных способов атаковать систему. Важную роль в ограничении контактной зоны SQL Server играет запуск необходимых служб по принципу «минимума прав доступа», согласно которому службам и пользователям предоставляются только необходимые для работы права. Следующая таблица содержит дополнительные сведения по службам и доступу к системе.

Сведения о	См. в разделах
Службы, необходимые для SQL Server	Настройка учетных записей служб Windows
Ограничение входа на сервер	Ограничение интерактивного доступа
Локальные административные права	Предоставление прав локального администрирования

Если в системе SQL Server используются службы IIS, чтобы обеспечить безопасность контактной зоны платформы, необходимы дополнительные шаги. Следующая таблица содержит сведения о SQL Server и службах IIS.

Сведения о	См. в разделах
Безопасность служб IIS в SQL Server Compact 3.5 с пакетом обновления 1 (SP1)	«Безопасность служб IIS» в электронной документации по SQL Server Compact 3.5 с пакетом обновления 1 (SP1)
Использование веб-служб в SQL Server и службах IIS	Оптимальные методы использования собственных веб-служб с поддержкой XML
Серверы отчетов и доступ в Интернет	Планирование развертывания в экстрасети или Интернете
Проверка подлинности служб Reporting Services	Проверка подлинности в службах Reporting Services
SQL Server Compact 3.5 с пакетом обновления 1 (SP1) и доступ к службам IIS	«Блок-схема безопасности служб IIS» в электронной документации по SQL Server Compact 3.5 с пакетом обновления 1 (SP1)

Безопасность файлов операционной системы SQL Server

SQL Server использует файлы операционной системы для работы и хранения данных. Оптимальным решением для обеспечения безопасности файлов будет ограничение доступа к ним. Следующая таблица содержит сведения об этих файлах.

Сведения о	См. в разделах
Исполняемые файлы SQL Server	Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server
Безопасность файлов базы данных	Защита данных и файлов журналов
Безопасность файлов служб Analysis Services	Защита программных файлов, общих компонентов и файлов данных

Обновления и пакеты обновления для SQL Server позволяют повысить безопасность. Чтобы определить новейший доступный пакет обновления для SQL Server, перейдите на веб-узел SQL Server.

С помощью приведенного ниже сценария можно определить установленный в системе пакет обновления.

SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
GO

Безопасность участников и объектов базы данных

Участники — это отдельные пользователи, группы и процессы, которым предоставлен доступ к ресурсам SQL Server. Защищаемые объекты — это сервер, база данных и объекты, которые содержит база данных. У каждого из них существует набор разрешений, с помощью которых можно уменьшить контактную зону SQL Server. Следующая таблица содержит сведения об участниках и защищаемых объектах.

Сведения о	См. в разделах
Пользователи, роли и процессы сервера и базы данных	Участники (компонент Database Engine)
Безопасность объектов сервера и базы данных	Защищаемые объекты
Иерархия безопасности SQL Server	Иерархия разрешений (компонент Database Engine)

Дополнительные сведения о безопасности базы данных и приложений см. в разделе Управление идентификаторами и доступом (компонент Database Engine).

Шифрование и сертификаты

Шифрование не решает проблемы управления доступом. Однако оно повышает безопасность, ограничивая потерю данных даже в тех редких случаях, когда средства управления доступом удается обойти. Например, если компьютер, на котором установлена база данных, был настроен неправильно, и злонамеренный пользователь смог получить конфиденциальные данные (например, номера кредитных карточек), то украденная информация будет бесполезна, если она была предварительно зашифрована. Следующая таблица содержит дополнительные сведения о шифровании в SQL Server.

Сведения о	См. в разделах
Иерархия шифрования в SQL Server	Иерархия средств шифрования
Шифрование соединений SQL Server	Шифрование соединений с SQL Server
Реализация безопасных соединений	Как включить шифрование соединений с компонентом Database Engine (диспетчер конфигурации SQL Server)
Функции шифрования	Криптографические функции (Transact-SQL)
Реализация шифрования	Инструкции по шифрованию
Настройка шифрования данных в службах Analysis Services	Требуется шифрование данных

Сертификаты — это совместно используемые на двух серверах программные «ключи», которые позволяют обеспечить безопасную передачу данных с помощью надежной проверки подлинности. SQL Server позволяет создавать и использовать сертификаты для повышения безопасности объектов и соединений. Следующая таблица содержит дополнительные сведения об использовании сертификатов с SQL Server.

Сведения о	См. в разделах
Безопасные соединения с использованием сертификатов	Настройка сертификата для использования протоколом SSL
Создание сертификата, который будет использоваться SQL Server	Инструкция CREATE CERTIFICATE (Transact-SQL)
Использование сертификатов с компонентом SQL ServerService Broker	Сертификаты и компонент Service Broker
Использование сертификатов при зеркальном отображении базы данных	Использование сертификатов для зеркального отображения базы данных

Безопасность приложений

Для SQL Server рекомендуется разрабатывать защищенные клиентские приложения. Дополнительные сведения о доступе к серверу и клиентских приложениях SQL Server см. в разделе Руководство разработчика (компонент Database Engine).

Дополнительные сведения об обеспечении безопасности клиентских приложений на уровне сети см. в разделе Конфигурация клиентской сети.

Дополнительные сведения о создании приложений с собственными службами XML см. в разделе Написание клиентских приложений.

Средства, программы, представления и функции безопасности SQL Server

В SQL Server предусмотрены средства, программы, представления и функции, которые используются для настройки и управления безопасностью.

Средства и программы безопасности SQL Server

Следующая таблица содержит сведения о средствах и программах SQL Server, с помощью которых можно настраивать и администрировать безопасность.

Сведения о	См. в разделах
Соединение с SQL Server, настройка сервера и управление им	Общие сведения о среде SQL Server Management Studio
Соединение с SQL Server и запуск запросов из командной строки	Программа sqlcmd
Настройка сети и управление SQL Server	диспетчер конфигурации SQL Server
Включение и отключение компонентов с помощью средства управления на основе политики	Администрирование серверов с помощью управления на основе политик
Управление симметричными ключами для сервера отчетов	Программа rskeymgmt

Представления каталога и функции безопасности SQL Server

В компоненте Database Engine сведения о безопасности доступны через несколько представлений и функций, оптимизированных для наибольшей производительности и полезности. Следующая таблица содержит сведения о представлениях и функциях безопасности.

Сведения о	См. в разделах
Представления каталога безопасности SQL Server возвращают сведения о разрешениях, участниках, ролях и других сущностях уровня базы данных и сервера. Кроме того, существуют представления каталога, содержащие сведения о ключах шифрования, сертификатах и учетных данных.	Представления каталога безопасности (Transact-SQL)
Функции безопасности SQL Server, которые возвращают сведения о текущем пользователе, разрешениях и схемах.	Функции безопасности (Transact-SQL)
Динамические административные представления SQL Server.	Динамические административные представления и функции, связанные с безопасностью (Transact-SQL)

См. также

Основные понятия

Анализ безопасности при установке SQL Server

Безопасное развертывание (компонент Database Engine)

Защита и обеспечение безопасности (компонент Database Engine)

Поделиться через