针对安全性的增强功能(数据库引擎)

SQL Server 数据库引擎中的安全性增强功能包括对扩展保护的支持。

SQL Server 2008 R2 中的新增功能

注意注意

因为 SQL Server 2008 R2 是 SQL Server 2008 的次版本升级,所以,我们建议您也查看 SQL Server 2008 部分的内容。

扩展保护

对于支持扩展保护的操作系统,提供通过使用渠道绑定和服务绑定对身份验证的扩展保护的支持。有关详细信息,请参阅使用扩展保护连接到数据库引擎

SQL Server 2008 中的新增功能

数据库引擎中针对安全性的增强功能包括新的加密函数、添加的透明数据加密和可扩展密钥管理功能、以及对 DES 算法的澄清。

加密函数

加密对象时,以下新函数颇为有用:is_objectsignedasymkeypropertysymkeypropertyCRYPT_GEN_RANDOMKEY_NAMEsys.fn_check_object_signatures

透明数据加密

透明数据加密 (TDE) 引入了新数据库选项,它可以自动加密数据库文件,而不需要改变任何应用程序。这可以防止未经授权的用户访问数据库,即使他们获得数据库文件或数据库备份文件也同样如此。有关数据库加密的详细信息,请参阅了解透明数据加密 (TDE)

可扩展的密钥管理

可扩展密钥管理 (EKM) 功能允许第三方企业密钥管理和硬件安全模块 (HSM) 供应商在 SQL Server 中注册其设备。一旦注册,则 SQL Server 用户可以使用在这些模块上存储的加密密钥,并利用这些模块支持的高级加密,比如大容量加密/解密和很多密钥管理函数(比如,密钥老化和密钥旋转)。该功能还允许针对数据库管理员(除了 sysadmin 组的成员)来保护数据。可以使用 Transact-SQL 加密语句来加密和解密数据,并且 SQL Server 使用外部 EKM 设备作为密钥存储手段。有关可扩展密钥管理的详细信息,请参阅 了解可扩展的密钥管理 (EKM)

关于 DES 算法的澄清

DES 算法名称现已澄清,TRIPLE_DES_3KEY 已可用。有关详细信息,请参阅 CREATE SYMMETRIC KEY (Transact-SQL)

不推荐使用 RC4 算法

不推荐使用 RC4 算法。后续版本的 Microsoft SQL Server 将删除该功能。请不要在新的开发工作中使用该功能,并尽快修改当前还在使用该功能的应用程序。请使用其他算法,例如 AES。有关详细信息,请参阅 CREATE SYMMETRIC KEY (Transact-SQL)

安全核对清单

联机丛书包括安全核对清单以便帮助评估您的数据库引擎配置和实践。有关详细信息,请参阅针对数据库引擎的安全核对清单