【 摘 要 】 在當今信息時代，信息的安全越來越受到人們的關注。但從關注信息安全到保障信息安全，還需要每個人共同去努力。本文通過對SQL Server數據庫風險的分析，希望能增強人們的安全意識與SQL Server數據庫方面綜合分析能力。本文提供了17項高風險分析與專業(yè)配置建議，對SQL Server數據庫風險識別、風險評估與修復等工作具有參考價值。

【 關鍵詞 】 SQL Server；風險；分析；建議

1 引言

今天，信息成為人類社會的重要資源，作為存儲管理大量信息的數據庫，存放著個人信息、企業(yè)機密、國家機密等多種類型信息。當世界各國信息安全事件頻發(fā)，信息的安全越來越受到人們的關注，信息安全保障工作也越發(fā)嚴峻，數據庫安全作為信息安全最后一道防線，其重要性不言而喻。

2 現狀

現在，仍有許多公司、單位使用Microsoft SQL Server數據庫存在：默認安裝未做任何安全配置即使用，長期沒有更新安全補丁、升級版本，安全設置不正確等情況，導致SQL Server數據庫安全漏洞百出。

3 分析與建議

本文希望通過SQL Server數據庫風險分析，增強人們的安全意識與SQL Server數據庫方面綜合分析能力。17項高風險分析與專業(yè)配置建議如下。

（1）GDI+VML、EMF、GIF、WMF、BMP、TIFF、PNG等圖片文件格式漏洞

GDI+漏洞影響VML（CVE-2007-5348）、EMF（CVE-2008-3012）、GIF（CVE-2008-3013）、WMF（CVE-2008-3014）、BMP（CVE-2008-3015）、TIFF（CVE-2009-2503）、PNG（CVE-2009-3126）等常見的圖片文件格式，也就是說機器上有該漏洞的系統(tǒng)一旦打開（甚至不需要用戶打開，只要程序解析該文件）包含有漏洞的利用代碼的文件就會執(zhí)行其中的任意代碼。

建議：安裝MS08-052補丁軟件對漏洞進行修補。

（2）口令攻擊

當SQL Server審計設置為記錄全部或者記錄失敗時，數據庫服務器中存在字典攻擊的證據。

建議：一分鐘內失敗的最大次數為6次，登錄失敗超過定制的次數，漏洞存在。

（3）弱口令用戶

在一個安全的數據庫環(huán)境中登錄用戶都要有強壯的密碼，特別是具有管理員權限的用戶。

強壯的密碼建議遵循原則：必須包括字母、數字和特殊字符、至少8位長、密碼不常見。

（4）sa口令與用戶名相同

SQL Server中默認的登錄用戶sa具有系統(tǒng)管理員的權限，擁有對數據庫的最高權限，攻擊者獲得sa的密碼后就可以對數據庫執(zhí)行任意操作。建議：將sa更改為強口令。

（5）SQL Server補丁

SQL Server是否安裝了最新的補丁。當一個版本發(fā)布一段時間后，SQL Server的廠家會提供了修補漏洞（包括安全問題）的升級補丁，這些修補都包括在補丁中。

建議：按時關注其官方網站發(fā)布的修補信息，及時給數據庫服務器安裝上最新發(fā)布的補丁。

（6）存儲過程安全

檢查sp_replwritetovarbin、sp_add_jobstep、sp_add_jobserver、sp_add_jobschedule、sp_add_job、sp_dr opgroup、sp_depends、sp_add_alert、sp_add_agent_profile、sp_add_agent_parameter、sp_grantlogin、sp_addrole、sp_ adduser、sp_executesql、sp_indexes、sp_trace_create、sp_ trace_generateevent、sp_trace_setevent、sp_trace_setfilter、sp_trace_setstatus、sp_bindsession、sp_replcmds、sp_replcounters、sp_repldone、sp_repldropcolumn的執(zhí)行權限是否符合安全要求。

建議：全部設置為僅sysadmin可以執(zhí)行。

（7）擴展存儲過程安全

檢查xp_revokelogin、xp_msver、xp_sprintf、xp_sscanf的執(zhí)行權限是否符合安全要求。

建議：全部設置為僅sysadmin可以執(zhí)行。

（8）用戶密碼過期

密碼過期的登錄用戶。要求用戶的密碼在一定規(guī)則的基礎上進行修改對抵御的字典攻擊很有用處，因為密碼的使用時間越長，密碼通過暴力破解、竊取或其他途徑被破解的可能性就越大。

建議：口令修改后過期的天數為45天，在口令即將過期時提醒用戶修改（天數）為5天，用戶也可以自定義這些值。

（9）Windows NT登錄用戶不正確

SQL Server允許用戶使用操作系統(tǒng)的Windows NT賬號進行服務器驗證。

建議：檢查Windows NT賬號列表，以確認只有適當的用戶才可以訪問數據庫服務器。

（10）具有管理員權限的過期登錄用戶

過期登錄（即長時間沒有登錄的用戶）用戶可以設置用戶未登錄的過期的天數，建議：設置為30天。過期用戶提供給攻擊者一個攻擊點，因為密碼沒有更改，長期的字典攻擊就可能成功。對安全要求高的數據庫環(huán)境中要求刪除不用的登錄，特別是具有管理員權限的過期用戶。

（11）未開啟登錄事件審計

SQL Server提供日志審計用來記錄失敗或者成功登錄數據庫的行為，對登錄事件的審計可以幫助用戶及時察覺登錄到數據庫中是否發(fā)生攻擊行為、攻擊行為發(fā)生的時間、登錄名等信息，以幫助管理員掌握登錄數據庫服務器的相關活動。建議：開啟登錄事件審計功能。endprint

（12）組權限設置錯誤

數據庫服務器中的組的權限是否與項目定制一致。分配權限的原則建議遵循最小化原則，即只要賦予所需權限的最小權限即可，如果需要對組中個別用戶特殊授權，可以直接授予，不要因此放大對相關組的授權。如果存在一個組權限過大，則漏洞存在。

（13）恢復模型不是完全恢復模型

SQL Server提供的三種恢復模型包括簡單恢復、完全恢復和大容量日志記錄恢復。簡單恢復能夠收回日志空間，可以節(jié)省日志文件空間，但是如果數據發(fā)生丟失，不能恢復到即時點。完全恢復模型如果數據文件丟失或者損壞不會導致工作丟失，可以恢復到即時點。大容量日志記錄恢復也不能恢復到即時點。在一個安全的數據庫環(huán)境中，建議：使用完全恢復模型。

（14）沒有禁用MS Search

MS Search服務用于SQL Server進行目錄索引。

如不需要MS Search服務，建議：禁用此服務，以減少數據庫可能被攻擊的面積。

（15）沒有禁用MSDTC

MSDTC是微軟分布式傳輸協調程序，用于管理多個服務器。

如不需要MSDTC服務，建議：禁用此服務，以減少數據庫可能被攻擊的面積。

（16）沒有禁用 SQL Server Agent

SQL Server Agent是微軟的Windows服務，它會定時執(zhí)行通常叫做job的管理任務。從SQL 2005開始的版本中，SQL Server Agent服務默認情況下是禁用的。

如不需要SQL Server Agent服務，建議：禁用此服務，以減少數據庫可能被攻擊的面積。

（17）默認實例端口號為1433

SQL Server默認的端口號為1433，如果SQL Server數據庫服務器沒有修改默認的端口號，會增加攻擊者通過端口攻擊的可能性。建議：修改端口為別的端口號。

4 結束語

數據庫的安全風險來自于數據庫的安裝、設置、維護多個層面。安裝時，只安裝需要的組件可以有效減少組件漏洞出現；設置時，鎖定或者失效默認用戶、修改可用用戶的默認密碼、加大密碼復雜度規(guī)則、設置密碼有限期可以有效防止用戶被盜用；維護時，定期更新廠家推出的安全性補丁、加強用戶審計等能減少安裝、設置不合理造成的風險。本文為SQL Server數據庫風險識別、風險評估與修復等工作提供了重要參考依據。

參考文獻

[1] Microsoft. CVE-2007-5348 [EB/OL]. http：//cve.mitre.org/cgi-bin/cvename.cgi？name=CVE-2007-5348，2007-10-10.

[2] Microsoft. CVE-2008-3012 [EB/OL]. http：//cve.mitre.org/cgi-bin/cvename.cgi？name=CVE-2008-3012，2008-07-07.

[3] Microsoft. CVE-2008-3013 [EB/OL]. http：//cve.mitre.org/cgi-bin/cvename.cgi？name=CVE-2008-3013，2008-07-07.

[4] Microsoft. CVE-2008-3014 [EB/OL]. http：//cve.mitre.org/cgi-bin/cvename.cgi？name=CVE-2008-3014，2008-07-07.

[5] Microsoft. CVE-2008-3015 [EB/OL]. http：//cve.mitre.org/cgi-bin/cvename.cgi？name=CVE-2008-3015，2008-07-07.

[6] Microsoft. CVE-2009-2503 [EB/OL]. http：//cve.mitre.org/cgi-bin/cvename.cgi？name=CVE-2009-2503，2009-07-17.

[7] Microsoft. CVE-2009-3126 [EB/OL]. http：//cve.mitre.org/cgi-bin/cvename.cgi？name=CVE-2009-3126，2009-09-10.

作者簡介：

李剛（1980-），男，四川宜賓人，工程師，Oracle數據庫認證專家、IBM AIX系統(tǒng)認證管理員；主要研究方向和關注領域：數據庫管理、數據庫架構設計、數據倉庫建模、數據抽取與展示。endprint