针对安全性的增强功能(数据库引擎)
数据库引擎中针对安全性的增强功能包括新的加密函数,添加的透明数据加密、审核和可扩展密钥管理功能,以及对 DES 算法的澄清。
加密函数
加密对象时,以下新函数颇为有用:is_objectsigned、asymkeyproperty、symkeyproperty、CRYPT_GEN_RANDOM、KEY_NAME 和 sys.fn_check_object_signatures。
透明数据加密
透明数据加密 (TDE) 引入了新数据库选项,它可以自动加密数据库文件,而不需要改变任何应用程序。这可以防止未经授权的用户访问数据库,即使他们获得数据库文件或数据库备份文件也同样如此。有关数据库加密的详细信息,请参阅了解透明数据加密 (TDE)。
可扩展的密钥管理
可扩展密钥管理 (EKM) 功能允许第三方企业密钥管理和硬件安全模块 (HSM) 供应商在 SQL Server 中注册其设备。一旦注册,则 SQL Server 用户可以使用在这些模块上存储的加密密钥,并利用这些模块支持的高级加密,比如大容量加密/解密和很多密钥管理函数(比如,密钥老化和密钥旋转)。该功能还允许针对数据库管理员(除了 sysadmin 组的成员)来保护数据。可以使用 Transact-SQL 加密语句来加密和解密数据,并且 SQL Server 使用外部 EKM 设备作为密钥存储手段。有关可扩展密钥管理的详细信息,请参阅 了解可扩展的密钥管理 (EKM)。
不推荐使用 RC4 算法
不推荐使用 RC4 算法。后续版本的 Microsoft SQL Server 将删除该功能。 请不要在新的开发工作中使用该功能,并尽快修改当前还在使用该功能的应用程序。请使用其他算法,例如 AES。有关详细信息,请参阅 CREATE SYMMETRIC KEY (Transact-SQL)。
审核
SQL Server 审核是 SQL Server 2008 的一项新功能,可用于创建数据库引擎事件的自定义审核。SQL Server 审核使用扩展事件记录审核的信息,并提供各种必需的工具和进程以启用、存储和查看对各种服务器和数据库对象的审核。有关详细信息,请参阅审核(数据库引擎)。