SQL Server 2008 R2 安全性专题（一）：安全原则

本系列主要专注与SQL Server 2005以后的DBMS，由于本人工作使用2008 R2，所以目前就针对2008 R2来做说明：

关于保护SQLServer 安全的原则：

• 最小权限原则

• CIA三角

• 深度防护

一、最小权限原则：

只授予所需的最小权限。

最简单的解决方案是让用户成为固有数据库角色：db_datareader成员，然后创建select权限创建数据库角色，并且只授权用户需要访问的表，让用户成为这个新角色的成员。远程连接在一些机器上不适合启用。

二、CIA三角：机密性、完整性、可用性

机密性：未授权的人或者使用未授权的方法不能访问数据。

完整性：未授权的人或者使用未授权的方法不能修改数据。

可用性：已授权的人随时可以使用数据。

以上三种特性缺一不可，并且要保持一种合理的平衡状态。哪一方过严密，都会导致失衡。

三、深度防护：

建立多层防护来避免收到攻击。

• 外围的外部路由器。
• 外围的防火墙。
• PC自带的个人防火墙。
• PC上运行的防病毒软件。
• 补丁管理方法和开发软件。

保证这5层防御。能使得受攻击的机会降到微乎其微。如果都出现灾难故障，那么PC将成为攻击的牺牲品。