資料庫密碼策略
1.大多數
Windows
用戶都需要一個
SQL
Server
登錄名以便連接到
SQL
Server。本主題說明了如何創建
SQL
Server
登錄名。
2.創建使用
Windows
身份驗證
(SQL
Server
Management
Studio)
的
SQL
Server
登錄名
3.在
SQL
Server
Management
Studio
中,打開對象資源管理器並展開要在其中創建新登錄名的伺服器實例的文件夾。
4.右鍵單擊「安全性」文件夾,指向「新建」,然後單擊「登錄名」。
5.在「常規」頁上的「登錄名」框中輸入一個
Windows
用戶名。
6.選擇「Windows
身份驗證」。
7.單擊「確定」。
8.創建使用
SQL
Server
身份驗證
(SQL
Server
Management
Studio)
的
SQL
Server
登錄名
9.在
SQL
Server
Management
Studio
中,打開對象資源管理器並展開要在其中創建新登錄名的伺服器實例的文件夾。
10.右鍵單擊「安全性」文件夾,指向「新建」,然後單擊「登錄名」。
11.在「常規」頁上的「登錄名」框中輸入一個新登錄名的名稱。
12.選擇「SQL
Server
身份驗證」。Windows
身份驗證是更安全的選擇。
輸入登錄名的密碼。
13.選擇應當應用於新登錄名的密碼策略選項。通常,強制密碼策略是更安全的選擇。
單擊「確定」。
14.通過
Transact-SQL
創建使用
Windows
身份驗證的
SQL
Server
登錄名
在查詢編輯器中,輸入以下
Transact-SQL
命令:CREATE
LOGIN
<name
of
Windows
User>
FROM
WINDOWS;
GO
15.通過
Transact-SQL
創建使用
SQL
Server
身份驗證的
SQL
Server
登錄名
在查詢編輯器中,輸入以下
Transact-SQL
命令:CREATE
LOGIN
<login
name>
WITH
PASSWORD
=
'<password>'
;
GO
❷ 誰能簡單介紹下資料庫加密
一、資料庫加密是什麼?
資料庫加密技術屬於主動防禦機制,可以防止明文存儲引起的數據泄密、突破邊界防護的外部黑客攻擊以及來自於內部高許可權用戶的數據竊取,從根本上解決資料庫敏感數據泄漏問題。資料庫加密技術是資料庫安全措施中最頂級的防護手段,也是對技術性要求最高的,產品的穩定性至關重要。
二、資料庫加密的方式有哪些?
目前,不同場景下仍在使用的資料庫加密技術主要有:前置代理加密、應用系統加密、文件系統加密、後置代理加密、表空間加密和磁碟加密等,下文將對前四種數據加密技術原理進行簡要說明。
1、前置代理加密技術
該技術的思路是在資料庫之前增加一道安全代理服務,所有訪問資料庫的行為都必須經過該安全代理服務,在此服務中實現如數據加解密、存取控制等安全策略,安全代理服務通過資料庫的訪問介面實現數據存儲。安全代理服務存在於客戶端應用與資料庫存儲引擎之間,負責完成數據的加解密工作,加密數據存儲在安全代理服務中。
2、應用加密技術
該技術是應用系統通過加密API(JDBC,ODBC,CAPI等)對敏感數據進行加密,將加密數據存儲到資料庫的底層文件中;在進行數據檢索時,將密文數據取回到客戶端,再進行解密,應用系統自行管理密鑰體系。
3、文件系統加解密技術
該技術不與資料庫自身原理融合,只是對數據存儲的載體從操作系統或文件系統層面進行加解密。這種技術通過在操作系統中植入具有一定入侵性的「鉤子」進程,在數據存儲文件被打開的時候進行解密動作,在數據落地的時候執行加密動作,具備基礎加解密能力的同時,能夠根據操作系統用戶或者訪問文件的進程ID進行基本的訪問許可權控制。
4、後置代理技術
該技術是使用「視圖」+「觸發器」+「擴展索引」+「外部調用」的方式實現數據加密,同時保證應用完全透明。核心思想是充分利用資料庫自身提供的應用定製擴展能力,分別使用其觸發器擴展能力、索引擴展能力、自定義函數擴展能力以及視圖等技術來滿足數據存儲加密,加密後數據檢索,對應用無縫透明等核心需求。
三、資料庫加密的價值
1、在被拖庫後,避免因明文存儲導致的數據泄露
通常情況下,資料庫中的數據是以明文形式進行存儲和使用的,一旦數據文件或備份磁帶丟失,可能引發嚴重的數據泄露問題;而在拖庫攻擊中,明文存儲的數據對於攻擊者同樣沒有任何秘密可言——如Aul、MyDul等很多成熟的資料庫文件解析軟體,均可對明文存儲的數據文件進行直接分析,並輸出清晰的、結構化的數據,從而導致泄密。
資料庫加密技術可對資料庫中存儲的數據在存儲層進行加密,即使有人想對此類數據文件進行反向解析,所得到的也不過是沒有任何可讀性的「亂碼」,有效避免了因數據文件被拖庫而造成數據泄露的問題,從根本上保證數據的安全。
2、對高權用戶,防範內部竊取數據造成數據泄露
主流商業資料庫系統考慮到初始化和管理的需要,會設置以sys、sa或root為代表的資料庫超級用戶。這些超級用戶天然具備數據訪問、授權和審計的許可權,對存儲在資料庫中的所有數據都可以進行無限制的訪問和處理;而在一些大型企業和政府機構中,除系統管理員,以數據分析員、程序員、服務外包人員為代表的其他資料庫用戶,也存在以某種形式、在非業務需要時訪問敏感數據的可能。
資料庫加密技術通常可以提供獨立於資料庫系統自身許可權控制體系之外的增強權控能力,由專用的加密系統為資料庫中的敏感數據設置訪問許可權,有效限制資料庫超級用戶或其他高許可權用戶對敏感數據的訪問行為,保障數據安全。
❸ 密碼策略主要包含哪些策略
密碼策略
SQL Server 2016 其他版本
適用對象:SQL Server 2016
SQL Server 可以使用 Windows 密碼策略機制。 密碼策略應用於使用 SQL Server 身份驗證的登錄名,並且應用於具有密碼的包含資料庫用戶。
SQL Server 可以對在 SQL Server內部使用的密碼應用在 Windows 中使用的相同復雜性策略和過期策略。 此功能取決於 NetValidatePasswordPolicy API。
SQL Database 強制實施密碼復雜性。 密碼過期和策略實施部分不適用於 SQL Database。
❹ 為什麼說修改資料庫密碼成本高
修改資料庫的成本是很高的,修改了資料庫密碼之後,必須要修改使用這資料庫的所有項目的密碼,在修改項目中的資料庫密碼之前,項目就會停止了,會出現損失。
❺ sql 資料庫 密碼策略 永久密碼設置方法
修改oracle用戶密碼永不過期:
1、查看用戶的proifle是哪個,一般是default:
sql>SELECT username,PROFILE FROM dba_users;
2、查看指定概要文件(如default)的密碼有效期設置:
sql>SELECT * FROM dba_profiles s WHERE s.profile='DEFAULT' AND resource_name='PASSWORD_LIFE_TIME';
3、將密碼有效期由默認的180天修改成「無限制」:
sql>ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME UNLIMITED;
修改之後不需要重啟動資料庫,會立即生效。
4、修改後,還沒有被提示ORA-28002警告的帳戶不會再碰到同樣的提示;
已經被提示的帳戶必須再改一次密碼,舉例如下:中華考試網
$sqlplus / as sysdba
sql> alter user smsc identified by <原來的密碼> ----不用換新密碼
❻ 資料庫安全的安全策略
資料庫的安全配置在進行安全配置之前,首先必須對操作系統進行安全配置,保證操作系統處於安全狀態。然後對要使用的操作資料庫軟體(程序)進行必要的安全審核,比如對ASP、PHP等腳本,這是很多基於資料庫的Web應用常出現的安全隱患,對於腳本主要是一個過濾問題,需要過濾一些類似「,; @ /」等字元,防止破壞者構造惡意的SQL語句。接著,安裝SQL Server2000後請打上最新SQL補丁SP4 。
SQL Server的安全配置
1.使用安全的密碼策略
我們把密碼策略擺在所有安全配置的第一步,請注意,很多資料庫賬號的密碼過於簡單,這跟系統密碼過於簡單是一個道理。對於sa更應該注意,同時不要讓sa賬號的密碼寫於應用程序或者腳本中。健壯的密碼是安全的第一步,建議密碼含有多種數字字母組合並9位以上。SQL Server2000安裝的時候,如果是使用混合模式,那麼就需要輸入sa的密碼,除非您確認必須使用空密碼,這比以前的版本有所改進。同時養成定期修改密碼的好習慣,資料庫管理員應該定期查看是否有不符合密碼要求的賬號。
2.使用安全的賬號策略
由於SQL Server不能更改sa用戶名稱,也不能刪除這個超級用戶,所以,我們必須對這個賬號進行最強的保護,當然,包括使用一個非常強壯的密碼,最好不要在資料庫應用中使用sa賬號,只有當沒有其他方法登錄到 SQL Server 實例(例如,當其他系統管理員不可用或忘記了密碼)時才使用 sa。建議資料庫管理員新建立個擁有與sa一樣許可權的超級用戶來管理資料庫。安全的賬號策略還包括不要讓管理員許可權的賬號泛濫。
SQL Server的認證模式有Windows身份認證和混合身份認證兩種。如果資料庫管理員不希望操作系統管理員來通過操作系統登錄來接觸資料庫的話,可以在賬號管理中把系統賬號「BUILTINAdministrators」刪除。不過這樣做的結果是一旦sa賬號忘記密碼的話,就沒有辦法來恢復了。很多主機使用資料庫應用只是用來做查詢、修改等簡單功能的,請根據實際需要分配賬號,並賦予僅僅能夠滿足應用要求和需要的許可權。比如,只要查詢功能的,那麼就使用一個簡單的public賬號能夠select就可以了。
3.加強資料庫日誌的記錄
審核資料庫登錄事件的「失敗和成功」,在實例屬性中選擇「安全性」,將其中的審核級別選定為全部,這樣在資料庫系統和操作系統日誌裡面,就詳細記錄了所有賬號的登錄事件。請定期查看SQL Server日誌檢查是否有可疑的登錄事件發生,或者使用DOS命令。
4.管理擴展存儲過程
對存儲過程進行大手術,並且對賬號調用擴展存儲過程的許可權要慎重。其實在多數應用中根本用不到多少系統的存儲過程,而SQL Server的這么多系統存儲過程只是用來適應廣大用戶需求的,所以請刪除不必要的存儲過程,因為有些系統的存儲過程能很容易地被人利用起來提升許可權或進行破壞。如果您不需要擴展存儲過程Xp_cmdshell請把它去掉。使用這個SQL語句:
use master
sp_dropextendedproc 'Xp_cmdshell'
Xp_cmdshell是進入操作系統的最佳捷徑,是資料庫留給操作系統的一個大後門。如果您需要這個存儲過程,請用這個語句也可以恢復過來。
sp_addextendedproc 'xp_cmdshell', 'xpSQL70.dll'
如果您不需要請丟棄OLE自動存儲過程(會造成管理器中的某些特徵不能使用)。
這些過程如下: Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊表訪問的存儲過程,注冊表存儲過程甚至能夠讀出操作系統管理員的密碼來,命令如下:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
還有一些其他的擴展存儲過程,也最好檢查檢查。在處理存儲過程的時候,請確認一下,避免造成對資料庫或應用程序的傷害。
5.使用協議加密
SQL Server 2000使用的Tabular Data Stream協議來進行網路數據交換,如果不加密的話,所有的網路傳輸都是明文的,包括密碼、資料庫內容等,這是一個很大的安全威脅。能被人在網路中截獲到他們需要的東西,包括資料庫賬號和密碼。所以,在條件容許情況下,最好使用SSL來加密協議,當然,您需要一個證書來支持。
6.不要讓人隨便探測到您的TCP/IP埠
默認情況下,SQL Server使用1433埠監聽,很多人都說SQL Server配置的時候要把這個埠改變,這樣別人就不會輕易地知道使用的什麼埠了。可惜,通過微軟未公開的1434埠的UDP探測可以很容易知道SQL Server使用的什麼TCP/IP埠。不過微軟還是考慮到了這個問題,畢竟公開而且開放的埠會引起不必要的麻煩。在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server實例。如果隱藏了SQL Server實例,則將禁止對試圖枚舉網路上現有的 SQL Server實例的客戶端所發出的廣播作出響應。這樣,別人就不能用1434來探測您的TCP/IP埠了(除非用Port Scan)。
7.修改TCP/IP使用的埠
請在上一步配置的基礎上,更改原默認的1433埠。在實例屬性中選擇網路配置中的TCP/IP協議的屬性,將TCP/IP使用的默認埠變為其他埠。
8.拒絕來自1434埠的探測
由於1434埠探測沒有限制,能夠被別人探測到一些資料庫信息,而且還可能遭到DoS攻擊讓資料庫伺服器的CPU負荷增大,所以對Windows 2000操作系統來說,在IPSec過濾拒絕掉1434埠的UDP通信,可以盡可能地隱藏您的SQL Server。
9.對網路連接進行IP限制
SQL Server 2000資料庫系統本身沒有提供網路連接的安全解決辦法,但是Windows 2000提供了這樣的安全機制。使用操作系統自己的IPSec可以實現IP數據包的安全性。請對IP連接進行限制,只保證自己的IP能夠訪問,也拒絕其他IP進行的埠連接,對來自網路上的安全威脅進行有效的控制。
上面主要介紹的一些SQL Server的安全配置,經過以上的配置,可以讓SQL Server本身具備足夠的安全防範能力。當然,更主要的還是要加強內部的安全控制和管理員的安全培訓,而且安全性問題是一個長期的解決過程,還需要以後進行更多的安全維護。
❼ oracle資料庫 賬號為什麼被鎖了
oracle資料庫賬號有密碼策略,一般情況下,密碼輸入錯誤超過10次 該賬號就會自動鎖定,需要dba管理員解鎖。該鎖定次數dba管理員也是可以手動更改的,有些重要系統會改成3次以加強系統安全性。還有一種情況是密碼到有效期了,需要強制更改密碼,這個參數一般是設置成3個月更改一次。
❽ 現在資料庫加密的方式有哪幾種
資料庫加密的方式從最早到現在有4種技術,首先是前置代理加密技術,該技術的思路是在資料庫之前增加一道安全代理服務,所有訪問資料庫的行為都必須經過該安全代理服務,在此服務中實現如數據加解密、存取控制等安全策略,安全代理服務通過資料庫的訪問介面實現數據存儲。安全代理服務存在於客戶端應用與資料庫存儲引擎之間,負責完成數據的加解密工作,加密數據存儲在安全代理服務中。
然後是應用加密技術,該技術是應用系統通過加密API對敏感數據進行加密,將加密數據存儲到資料庫的底層文件中;在進行數據檢索時,將密文數據取回到客戶端,再進行解密,應用系統自行管理密鑰體系。
其次是文件系統加解密技術,該技術不與資料庫自身原理融合,只是對數據存儲的載體從操作系統或文件系統層面進行加解密。這種技術通過在操作系統中植入具有一定入侵性的「鉤子」進程,在數據存儲文件被打開的時候進行解密動作,在數據落地的時候執行加密動作,具備基礎加解密能力的同時,能夠根據操作系統用戶或者訪問文件的進程ID進行基本的訪問許可權控制。
最後後置代理技術,該技術是使用「視圖」+「觸發器」+「擴展索引」+「外部調用」的方式實現數據加密,同時保證應用完全透明。核心思想是充分利用資料庫自身提供的應用定製擴展能力,分別使用其觸發器擴展能力、索引擴展能力、自定義函數擴展能力以及視圖等技術來滿足數據存儲加密,加密後數據檢索,對應用無縫透明等核心需求。安華金和的加密技術在國內是唯一支持TDE的資料庫加密產品廠商。
❾ win系統中本地安全策略的密碼策略對MYSQL資料庫密碼有影響嗎
密碼必須符合復雜性要求:啟用此策略,用戶賬戶使用的密碼必須符合復雜性的要求。密碼復雜性指密碼總必須包含一下4類字元中的三類字元:
1、英文大寫字母(A-Z)
2、英文小寫字母(a-z)
3、10個基本數字(0-9)
4、特殊符號(!@#¥%等)
雙擊該策略後的設置對話框如下圖所示
2
密碼長度最小值:該項安全設置確定用戶賬戶的密碼包含的最少字元個數。設置范圍0-14,將自讀數設置為0,表示不要求密碼。雙擊該策略後的設置對話框如下圖所示:
3
密碼長使用期限:指密碼使用的最長時間,單位為天。設置范圍為0-999,默認設置為42天,如果設置為0天,表示密碼永不過期。雙擊該策略夠的設置對話框如下圖所示。
4
密碼最段使用期限:此安全設置確定在用戶更改某個密碼之前至少使用該密碼的天使。可以設置一個介於1和998天之間的值,或這將天數設置為0.表示可以隨時更改密碼。密碼最短使用期限必須小於密碼最長使用期限,除非密碼最長使用期限設置為0.如果密碼最長使用期限設置為0.那麼密碼最短使用期限可以設置為0-998天之間的人意值。