作為數據庫管理員,您可以采取許多措施來提高數據的安全性。例如,您可以:
•更改缺省用戶 ID 和口令 新創建數據庫的缺省用戶 ID 為 DBA,口令為 SQL。應該在部署數據庫之前更改此口令。
•要求使用長口令 您可以將 MIN_PASSWord_LENGTH 公共選項設置為不允許使用短口令 (因為容易被猜到)。
•限制 DBA 授權 因為 DBA 權限的權力非常大,所以應該將它僅限於確實需要該權限的用戶。具有 DBA 權限的用戶可以查看數據庫中的一切,並可執行一切操作。
或許可以考慮給予具有 DBA 權限的用戶兩個用戶 ID:一個具有DBA 權限,而另外一個不具有 DBA 權限,這樣他們就可以僅在必需時才以 DBA 的身份進行連接。
•刪除外部系統函數 下列外部函數可能會帶來安全風險:
xp_cmdshell、 xp_startmail、 xp_startsmtp、 xp_sendmail、 xp_stopmail 和 xp_stopsmtp。
xp_cmdshell 過程允許用戶執行操作系統命令或程序。
通過電子郵件命令,用戶可讓服務器發送由用戶撰寫的電子郵件。惡意用戶可以使用電子郵件或命令解釋器過程,利用操作系統所給予他們的權限外的權限執行操作系統任務。在注重安全的環境中,應該刪除這些函數。
•保護數據庫文件 應該保護數據庫文件、日志文件、 dbspace 文件和寫文件不受未經授權的訪問。不要將它們存儲在共享目錄或卷中。
•保護數據庫軟件 同樣,您也應該保護 Adaptive Server Anywhere軟件。只給予用戶訪問應用程序、 DLL 以及他們要求的其它資源的權限。
·將數據庫服務器作為服務或後台進程運行 為防止未經授權的用戶關閉數據庫或獲得對數據庫或日志文件的訪問權限,應將數據庫服務器作為 Windows 服務運行。在 UNIX 上,將服務器作為後台進程運行會起到類似作用。
·將 ASTMP 設置為獨特的目錄 為保護引擎在 UNIX 平台上的安全,應將 ASTMP 設置為獨特的目錄,並避免所有其他用戶對該目錄進行讀、寫以及執行操作。這樣做會強制所有連接使用 TCP/IP,而使用 TCP/IP 比共享內存連接更加安全。
·對數據庫進行高度加密 對數據庫進行高度加密可使它在不使用密鑰時完全無法訪問。您不能使用其它任何方法來打開數據庫或查看數據庫或事務日志文件。
