Microsoft SQL Server 2005 安全设计课程笔记

这两天参加了 Designing Security for Microsoft SQL Server 2005 的培训,做个笔记。

一、SQL 服务器安全设计简介
1. 首要任务是设计好SQL服务器的安全规则
2. 参考标准为Common Criteria和C2

二、SQL服务器结构安全设计
1. 与企业现有的认证系统集成,例如AD
2. 制定服务器级的安全规则,评估高可靠性方案下的安全影响
3. 制定密码规则、确定服务帐号的权限、确定所有需要的服务
4. 制定防火墙规则
5. 规划好服务器的物理安全
6. 制定通讯规则,采用SSL或者IPSec加密传输数据
7. 制定安全监控标准。监控的内容包括:AD的安全策略、安全日志、域控制器的事件日志、本地策略、本地日志
8. 确定通知级别、通知人员

三、SQL 实例和数据库的安全策略设计
1. 授权和登录的安全策略
2. 强化代理服务、DDL事件,即时更新补丁和升级
3. 其次要有完善的监控手段

审计工具包括Microsoft的MBSA、SQL Server Surface Area Configuration 和 SQL Server 本身提供的工具,例如 Dynamic Management Views, DBCC 命令和存储进程。
监控工具包括SQL Server Profiler, System Monitor 和 SQL 本身提供的工具, 例如 sp_trace_create, sp_trace_setevent 和 sp_trace_setfilter,也可以通过系统 schema检查数据。

四、数据库安全设计中的数据加密

五、安全特例的设计

六、威胁和攻击的回应策略
分别针对病毒、蠕虫、DoS、SQL注入攻击的方案

发表评论

电子邮件地址不会被公开。 必填项已用*标注