• 您的位置：創(chuàng)新互聯(lián) >> 網(wǎng)站建設(shè) >> 虛擬主機(jī) >> 淺談如何防止盜數(shù)據(jù)庫(kù)
  

淺談如何防止盜數(shù)據(jù)庫(kù)

• 作者：譚孝梅 文章來(lái)源：網(wǎng)站設(shè)計(jì)制作 點(diǎn)擊數(shù)：1241 更新時(shí)間：2011-9-13
• 為了防止某些別有用心的人從外部訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，盜取數(shù)據(jù)庫(kù)中的用戶(hù)姓名、密碼、信用卡號(hào)等其他重要信息，在我們創(chuàng)建數(shù)據(jù)庫(kù)驅(qū)動(dòng)的解決方案時(shí)，我們首先需要考慮的的第一條設(shè)計(jì)決策就是如何加密存儲(chǔ)數(shù)據(jù)，以此來(lái)保證它的安全，免受被他人窺測(cè)。
  　　SQL Server中有哪一種支持可以用于加密對(duì)象和數(shù)據(jù)?從一開(kāi)始就討論一下SQL Server欠缺什么是明智的，或者是對(duì)于SQL Server中的加密部分你不應(yīng)該做什么。
  　　首先，SQL Server有兩個(gè)內(nèi)置的密碼函數(shù)——即，pwdencrypt() 和 pwdcompare()。同時(shí)，還有兩個(gè)SQL Server用來(lái)管理密碼哈希的沒(méi)有正式記錄的函數(shù):pwdencrypt() 將密碼哈希過(guò)后進(jìn)行存儲(chǔ); pwdcompare()將提供的字符串與哈希后的字符串進(jìn)行比較。不幸的是，這個(gè)哈希函數(shù)不是非常安全，它可以通過(guò)字典攻擊算法被破解(類(lèi)似命令行應(yīng)用程序!)。
  　　這些函數(shù)隨著SQL Server的版本發(fā)展而不斷進(jìn)行修改，這也是另一個(gè)沒(méi)有使用它們的原因。早期版本的SQL Server對(duì)密碼進(jìn)行的哈希，在后來(lái)的版本中無(wú)法解密，所以如果你依賴(lài)一個(gè)版本中的函數(shù)，那么當(dāng)升級(jí)的時(shí)候，所有你的加密數(shù)據(jù)就都沒(méi)有用了，除非你可以首先對(duì)其解密——這也就違背了加密的最初的目的。
  　　第二，你可能會(huì)嘗試去創(chuàng)建一個(gè)針對(duì)你的數(shù)據(jù)庫(kù)的自制的加密解決方案，但是有以下三個(gè)理由說(shuō)明你不要這樣做:
  　　除非你是加密專(zhuān)家，否則胡亂編寫(xiě)的加密系統(tǒng)只會(huì)提供非常低級(jí)的價(jià)值不高的保護(hù)。新鮮的是，單向密碼哈希或者 "ROTx "形式的加密幾乎不需要費(fèi)事就可以被輕松打敗。
  　　如果由于你自己的能力的缺乏而導(dǎo)致加密被破解，那么你的數(shù)據(jù)就完蛋了。你需要將所有的東西進(jìn)行沒(méi)有加密的備份，是嗎?(即使你加密了，那里有沒(méi)有安全漏洞)
  　　當(dāng)市面上提供有專(zhuān)業(yè)級(jí)別的，具有工業(yè)強(qiáng)度的加密解決方案的時(shí)候，你就不值得花費(fèi)時(shí)間去自己做。把你的時(shí)間用于構(gòu)建一個(gè)好的，堅(jiān)固的數(shù)據(jù)庫(kù)，而不是再重新發(fā)明一次車(chē)輪。
  　　那么，什么才是好的加密數(shù)據(jù)的方式呢?
  　　對(duì)于新手，微軟提供了一個(gè)自己生成的加密解決方案，CryptoAPI 。對(duì)于輕量級(jí)的加密，軍用級(jí)別的安全就不在考慮范圍之內(nèi)，它具有相對(duì)容易實(shí)現(xiàn)的優(yōu)勢(shì):管理員可以安裝一個(gè)名為CAPICOM 的ActiveX 控制，它可以在T-SQL存儲(chǔ)過(guò)程中提供CryptoAPI 功能。CAPICOM 支持各種類(lèi)型的雙向加密和單向哈希算法，所以管理員可以挑選最適合應(yīng)用程序的問(wèn)題的部分。
  　　如果你對(duì)使用微軟的解決方案不感興趣，還有一些很好的第三方的方案可以使用。一家名為ActiveCrypt 的軟件有限責(zé)任公司制造了XP_CRYPT ，它是SQL Server的插件，可以在視圖、程序和觸發(fā)器中通過(guò)擴(kuò)展存儲(chǔ)過(guò)程和用戶(hù)自定義函數(shù)(在SQL Server 2000中)來(lái)完成加密。你可以下載一個(gè)支持無(wú)線(xiàn)的MD5,DES ，以及SHA1哈希的免費(fèi)版本的應(yīng)用程序; 其他的加密模型就是在比特深度上進(jìn)行的。(完全版本是無(wú)限的。)在你自己的代碼中，你可以使用XP_CRYPT，與ActiveX 控制一樣(在受限的免費(fèi)版本中)。對(duì)于ASP程序員來(lái)說(shuō)，一個(gè)名為AspEncrypt 的組件提供了一種將高級(jí)加密整合到你的代碼中的簡(jiǎn)單方式。
  　　對(duì)數(shù)據(jù)庫(kù)文件自身進(jìn)行加密或者提供傳輸層上的安全保護(hù)怎么樣?對(duì)于前者，大家可以在Windows系統(tǒng)中持續(xù)使用加密文件系統(tǒng)。然而，你必須保存加密密鑰的備份，在出現(xiàn)問(wèn)題的時(shí)候，這個(gè)數(shù)據(jù)有可能會(huì)丟失。對(duì)于后者，有IPSec和SQL Server自己的SSL加密，都是SQL Server和Windows自帶的大家的主要精力應(yīng)該放在避免以明文存儲(chǔ)敏感數(shù)據(jù)，因?yàn)閺臄?shù)據(jù)庫(kù)中抽取沒(méi)有加密的數(shù)據(jù)同樣是最容易受到攻擊的薄弱環(huán)節(jié)。
• 上一篇文章：換服務(wù)器IP對(duì)百度影響最小的技巧
  下一篇文章：如何選擇一個(gè)有利推廣的虛擬空間