- •• Управление доступом. Общие сведения
- •Схемы, не имеющие отношения к пользователям
- •Управление доступом в службах отчетов
- •Управление доступом в службах уведомлений
- •Управление доступом для sql Server Agent
- •Управление контекстом выполнения кода
- •Уровни безопасности выполнения кода
- •Некоторые рекомендации
- •Шифрование данных на уровне колонок
- •Шифрование данных в интеграционных службах
- •Шифрование данных в службах отчетов
- •Шифрование данных, доступных с помощью протокола http
- •Шифрование кода хранимых процедур и представлений
- •Отключение ненужных служб
- •Использование представлений
- •Использование хранимых процедур
- •Проверка пользовательского ввода
- •Средства обеспечения безопасности в sql Server 2005 и других субд
- •Средства обеспечения безопасности Oracle и sql Server
Проверка пользовательского ввода
Как избежать атак на сервер из клиентских приложений? Для этой цели можно воспользоваться уже перечисленными ранее возможностями, доступными в SQL Server 2005, такими как выполнение приложений от имени учетной записи с минимально необходимыми привилегиями, минимизация привилегий для исполняемого кода, отключение всех ненужных служб и опций.
Немаловажным шагом при создании клиентских приложений является и проверка вводимых данных. Такие банальные фрагменты клиентского кода, как проверка соответствия типов вводимых данных типам в СУБД, применение регулярных выражений в клиентских приложениях для проверки пользовательского ввода до того, как он будет отправлен в СУБД, экранирование специальных символов (довольно часто используемых злоумышленниками при атаках на серверы баз данных), могут спасти базу данных от многих неприятностей.
Особо отметим обязательную при применении служб уведомлений необходимость проверки вводимой пользователями информации в поля протокола Subscriber, Subscriber Device и Subscription Information — сами службы уведомлений не содержат механизмов проверки содержимого полей заголовков протокола.
Средства обеспечения безопасности в sql Server 2005 и других субд
Справедливости ради отметим, что SQL Server не единственная хорошая серверная СУБД на рынке программного обеспечения. Надежные и простые в применении СУБД масштаба предприятия выпускают такие компании, как IBM, Oracle, Sybase. Средства обеспечения безопасности в SQL Server 2005 также не уникальны — все перечисленные выше производители СУБД заботятся о безопасности своих продуктов не меньше, чем корпорация Microsoft. Данное утверждение иллюстрируется приведенной выше таблицей, в которой представлено наличие средств обеспечения безопасности в SQL Server 2005 и в различных редакциях Oracle 10g.
Средства обеспечения безопасности Oracle и sql Server
Отметим, однако, что перечисленные механизмы безопасности и удобные средства их администрирования доступны во всех редакциях SQL Server 2005, включая бесплатную редакцию Express Edition и относительно недорогие версии Workgroup Edition и Standard Edition, вполне доступные небольшим предприятиям. В то же время аналогичные механизмы и утилиты Oracle 10g присутствуют только в наиболее дорогостоящей редакции этой СУБД.