为SQL Server构造灵活可靠的安全门

在改进SQL Server 7.0系列所实现的安全机制的过程中，Microsoft建立了一种既灵活又强大的安全管理机制，他能够对用户访问SQL Server服务器系统和数据库的安全进行全面地管理。按照本文介绍的步骤，您能够为SQL Server 7.0（或2000）构造出一个灵活的、可管理的安全之门，而且他的安全性经得起考验。

一、验证方法选择

本文对验证（authentication）和授权（authorization）这两个概念作不同的解释。验证是指检验用户的身份标识；授权是指允许用户做些什么。在本文的讨论中，验证过程在用户登录SQL Server的时候出现，授权过程在用户试图访问数据或执行命令的时候出现。

构造安全策略的第一个步骤是确定SQL Server用哪种方式验证用户。SQL Server的验证是把一组帐户、密码和Master数据库Sysxlogins表中的一个清单进行匹配。Windows NT/2000的验证是请求域控制器检查用户身份的合法性。一般地，假如服务器能够访问域控制器，我们应该使用Windows NT/2000验证。域控制器能够是Win2K服务器，也能够是NT服务器。无论在哪种情况下，SQL Server都接收到一个访问标记（Access Token）。访问标记是在验证过程中构造出来的一个特别列表，其中包含了用户的SID（安全标识号）连同一系列用户所在组的SID。正如本文后面所介绍的，SQL Server以这些SID为基础授予访问权限。注意，操作系统如何构造访问标记并不重要，SQL Server只使用访问标记中的SID。也就是说，不论您使用SQL Server 2000、SQL Server 7.0、Win2K还是NT进行验证都无关紧要，结果都相同。

假如使用SQL Server验证的登录，他最大的好处是很容易通过Enterprise Manager实现，最大的缺点在于SQL Server验证的登录只对特定的服务器有效，也就是说，在一个多服务器的环境中管理比较困难。使用SQL Server进行验证的第二个重要的缺点是，对于每一个数据库，我们必须分别地为他管理权限。假如某个用户对两个数据库有相同的权限需要，我们必须手工配置两个数据库的权限，或编写脚本配置权限。假如用户数量较少，比如25个以下，而且这些用户的权限变化不是很频繁，SQL Server验证的登录或许适用。但是，在几乎任何的其他情况下（有一些例外情况，例如直接管理安全问题的应用），这种登录方式的管理负担将超过他的长处。

二、Web环境中的验证

即使最好的安全策略也常常在一种情形前屈服，这种情形就是在Web应用中使用SQL Server的数据。在这种情形下，进行验证的典型方法是把一组SQL Server登录名称和密码嵌入到Web服务器上运行的程式，比如ASP页面或CGI脚本；然后，由Web服务器负责验证用户，应用程式则使用他自己的登录帐户（或是系统管理员sa帐户，或为了方便起见，使用Sysadmin服务器角色中的登录帐户）为用户访问数据。

这种安排有几个缺点，其中最重要的包括：他不具备对用户在服务器上的活动进行审核的能力，完全依赖于Web应用程式实现用户验证，当SQL Server需要限定用户权限时不同的用户之间不易区别。假如您使用的是IIS 5.0或IIS 4.0，您能够用四种方法验证用户。第一种方法是为每一个网站和每一个虚拟目录创建一个匿名用户的NT帐户。此后，任何应用程式登录SQL Server时都使用该安全环境。我们能够通过授予NT匿名帐户合适的权限，改进审核和验证功能。

第二种方法是让任何网站使用Basic验证。此时，只有当用户在对话框中输入了合法的帐户和密码，IIS才会允许他们访问页面。IIS依靠一个NT安全数据库实现登录身份验证，NT安全数据库既能够在本地服务器上，也能够在域控制器上。当用户运行一个访问SQL Server数据库的程式或脚本时，IIS把用户为了浏览页面而提供的身份信息发送给服务器。假如您使用这种方法，应该记住：在通常情况下，浏览器和服务器之间的密码传送一般是不加密的，对于那些使用Basic验证而安全又很重要的网站，您必须实现SSL（Secure Sockets Layer，安全套接字层）。

在客户端只使用IE 5.0、IE 4.0、IE 3.0浏览器的情况下，您能够使用第三种验证方法。您能够在Web网站上和虚拟目录上都启用NT验证。IE会把用户登录电脑的身份信息发送给IIS，当该用户试图登录SQL Server时IIS就使用这些登录信息。使用这种简化的方法时，我们能够在一个远程网站的域上对用户身份进行验证（该远程网站登录到一个和运行着Web服务器的域有着信任关系的域）。

最后，假如用户都有个人数字证书，您能够把那些证书映射到本地域的NT帐户上。个人数字证书和服务器数字证书以同样的技术为基础，他证实用户身份标识的合法性，所以能够取代NT的Challenge/Response（质询/回应）验证算法。Netscape和IE都自动在每一个页面请求中把证书信息发送给IIS。IIS提供了一个让管理员把证书映射到NT帐户的工具。因此，我们能够用数字证书取代通常的提供帐户名字和密码的登录过程。

由此可见，通过NT帐户验证用户时我们能够使用多种实现方法。即使当用户通过IIS跨越Internet连接SQL Server时，选择仍旧存在。因此，您应该把NT验证作为最好选择的用户身份验证办法。

三、配置全局组

构造安全策略的下一个步骤是确定用户应该属于什么组。通常，每一个组织或应用程式的用户都能够按照他们对数据的特定访问需要分成许多类别。例如，会计应用软件的用户一般包括：数据输入操作员，数据输入管理员，报表编写员，会计师，审计员，财务经理等。每一组用户都有不同的数据库访问需要。

控制数据访问权限最简单的方法是，对于每一组用户，分别地为他创建一个满足该组用户权限需要的、域内全局有效的组。我们既能够为每一个应用分别创建组，也能够创建适用于整个企业的、涵盖广泛用户类别的组。然而，假如您想要能够精确地了解组成员能够做些什么，为每一个应用程式分别创建组是一种较好的选择。例如，在前面的会计系统中，我们应该创建Data Entry Operators、Accounting Data Entry Managers等组。请记住，为了简化管理，最好为组取一个能够明确表示出作用的名字。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!