SQL Server安全性

第1章 SQLServer安全：基礎(chǔ)知識(shí)
1.1 SQLServer的歷史
1.2 SQLServer的版本
1.3 通用數(shù)據(jù)庫(kù)安全技術(shù)
1.4 SQLServer的安全漏洞
1.4.1 病毒解析：Slammer為什么會(huì)如此成功
1.4.2 預(yù)防另一個(gè)可能的S1amm
1.5 小結(jié)
第2章 圍攻SQLServer.攻擊過程分析
2.1 挑選理想的工具
2.2 數(shù)據(jù)還是主機(jī)
2.3 無需認(rèn)證的攻擊
2.3.1 利用緩沖區(qū)溢出
2.3.2 SQL監(jiān)控器端口攻擊
2.3.3 hello故障
2.3.4獵取密碼
2.4 需要認(rèn)證的攻擊
2.4.1 緩沖區(qū)溢出
2.4.2 擴(kuò)展存儲(chǔ)過程
2.4.3 繞過訪問控制機(jī)制
2.5 資源
2.6 代碼列表1
2.7 代碼列表2
2.8 代碼列表3
第3章 SQLSenter的安裝技巧
3.1 規(guī)劃安裝過程
3.1.1 數(shù)據(jù)安全
3.1.2 容錯(cuò)能力
3.1.3 備份方案
3.1.4 災(zāi)難恢復(fù)
3.2 操作系統(tǒng)的因素
3.3 運(yùn)行安裝程序
3.4 鎖定服務(wù)器
3.5 核對(duì)列表
第4章 網(wǎng)絡(luò)庫(kù)和安全連接
4.1 客戶／服務(wù)器連接
4.2 安全套接字層
4.2.1 SSL基礎(chǔ)
4.2.2 SSL的配置
4.3 SQLServer網(wǎng)絡(luò)庫(kù)
4.3.1 主網(wǎng)絡(luò)庫(kù)
4.3.2 從網(wǎng)絡(luò)庫(kù)
4.4 配置連接
4.4.1 服務(wù)器網(wǎng)絡(luò)實(shí)用程序
4.4.2 客戶端網(wǎng)絡(luò)實(shí)用程序
4.5 優(yōu)秀的經(jīng)驗(yàn)
4.5.1 永遠(yuǎn)不要向互聯(lián)網(wǎng)暴露您的SQLServer端口
4.5.2 盡可能使用TCP／IP網(wǎng)絡(luò)庫(kù)
4.5.3 在確實(shí)需要時(shí)再配置網(wǎng)絡(luò)庫(kù)
4.5.4 使用128位的SSL連接而不要使用40位的SSL連接
4.5.5 設(shè)置一個(gè)SSL證書以確保進(jìn)行安全登錄
4.5.6 對(duì)高敏感的數(shù)據(jù)進(jìn)行強(qiáng)制加密
4.5.7 配置TCP／IP的時(shí)候請(qǐng)使用隱藏服務(wù)器選項(xiàng)
第5章 認(rèn)證和授權(quán)
5.1 認(rèn)證(Authentication)
5.1.1 登錄
5.1.2 數(shù)據(jù)庫(kù)用戶
5.1.3 角色
5.2 授權(quán)(AuthOhzatiOn)和許可(Permissions)
5.2.1 GRANT、REVOKE和DENY
5.2.2 審核訪問(AuditingAccess)
5.2.3 所有權(quán)鏈(OwnershipChains)
5.3 SyslOginS、Sysprotects、Syspermissions和其他特殊賬戶
5.3.1 SID與SUID
5.3.2 syslogins和sysxlogins
5.3.3 SySUSer3
5.3.4 syspermissions
5.3.5 sysprotects
5.4 優(yōu)秀的經(jīng)驗(yàn)
5.4.1 Windows活動(dòng)目錄：集中式管理
5.4.2 SQLServer集中式角色管理
5.4.3 挑選適當(dāng)?shù)姆椒?br />第6章 企業(yè)中的SQLServer
6.1 SQLServer的復(fù)制
6.1.1 復(fù)制操作概論
6.1.2 復(fù)制時(shí)要考慮的安全問題
6.2 多服務(wù)器系統(tǒng)管理
6.3 活動(dòng)目錄集成
第7章 審核與入侵檢測(cè)
7.1 案例分析
7.1.1 RetailCo數(shù)據(jù)庫(kù)的運(yùn)作規(guī)模
7.1.2 RetailCo的管理結(jié)構(gòu)
7.1.3 安全策略
7.1.4 怪異之事和合乎法律程序的檢查
7.1.5 結(jié)論
7.2 SQLServer審核
7.2.1 啟用標(biāo)準(zhǔn)的審核
7.2.2 C2級(jí)審核
7.2.3 擴(kuò)展審核功能
7.2.4 使用內(nèi)置跟蹤函數(shù)配置手動(dòng)審核
7.3 SQLServer警報(bào)
7.3.1 配置SQLServer警報(bào)
7.3.2 將SQLServer警報(bào)用作入侵檢測(cè)系統(tǒng)
第8章 數(shù)據(jù)加密技術(shù)
8.1 加密技術(shù)概覽
8.2 哈希算法
8.3 Salt(Salts)
8.4 密鑰管理
8.5 內(nèi)置加密函數(shù)
8.6 加密自定義存儲(chǔ)過程
8.7 加密SQLServer表數(shù)據(jù)
8.8 SQLServer網(wǎng)絡(luò)通信的加密
8.9 中間層加密
8.10 第三方COM組件
8.11 加密API
第9章 SQL注入：當(dāng)防火墻鞭長(zhǎng)莫及時(shí)
9.1 SQL注入簡(jiǎn)述
9.2 案例研究：在線外貿(mào)交易系統(tǒng)
9.2.1 審核技術(shù)
9.2.2 漏洞識(shí)別
9.2.3 攻擊系統(tǒng)
9.2.4 案例分析
9.3 高級(jí)主題
9.3.1 利用時(shí)間延遲提取有用信息
9.3.2 系統(tǒng)級(jí)攻擊
9.3.3 為什么SQLServer容易受到SQL注入的攻
9.3.4 攻擊方式
9.4 SQL注入的防護(hù)
9.4.1 輸入驗(yàn)證(1nputValidation)
9.4.2 鑒別不好的設(shè)計(jì)
9.4.3 增強(qiáng)設(shè)計(jì)
9.5 優(yōu)秀的經(jīng)驗(yàn)
9.5.1 設(shè)計(jì)
9.5.2 開發(fā)／實(shí)現(xiàn)
9.5.3 QA／測(cè)試
9.5.4 配置
第10章 安全體系結(jié)構(gòu)
10.1 深度防護(hù)
10.2 安全性需求
10.2.1 收集需求
10.2.2 已有的環(huán)境
10.2.3 理解應(yīng)用程序的安全需求
10.2.4保護(hù)您的應(yīng)用程序
10.3 規(guī)劃
10.3.1 依托技術(shù)做決策
10.3.2 依托評(píng)審過程做決策
10.3.3 依托代碼標(biāo)準(zhǔn)做決策
10.3.4 防止安全水準(zhǔn)的下降
10.4 開發(fā)
10.4.1 良好的編碼習(xí)慣
10.4.2 編寫存儲(chǔ)過程的一些良好的習(xí)慣
10.4.3 輸入驗(yàn)證
10.4.4 推薦的開發(fā)防護(hù)措施
10.4.5 一些不好的編碼習(xí)慣及其克服方法
10.5 測(cè)試
10.5.1 測(cè)試的手段
10.5.2 模糊化處理(Fuzzing)
10.5.3 一些技巧
10.5.4 深度覆蓋
10.5.5 結(jié)果報(bào)告
10.6 配置
10.6.1 配置的規(guī)劃
10.6.2 過程的構(gòu)造
10.6.3 問題的解決方法
10.7 維護(hù)
10.7.1 安全+不安全=不安全
10.7.2 閱讀日志
10.7.3 注意收集證據(jù)
附錄A 系統(tǒng)存儲(chǔ)過程與擴(kuò)展存儲(chǔ)過程
A.1 限制存儲(chǔ)過程的風(fēng)險(xiǎn)
A.1.1 將攻擊范圍壓縮到最小
A.1.2 將訪問權(quán)限降到最低
A.1.3 將應(yīng)用程序運(yùn)行時(shí)的賬產(chǎn)權(quán)限調(diào)整到最小
A.2 存儲(chǔ)過程的攻擊策略
A.2.1 創(chuàng)建特洛伊木馬存儲(chǔ)過程
A.2.2 利用社會(huì)工程學(xué)使用系統(tǒng)存儲(chǔ)過程
A.3 高危險(xiǎn)性的系統(tǒng)存儲(chǔ)過程和擴(kuò)展存儲(chǔ)過程
A.3.1 訪問注冊(cè)表的擴(kuò)展存儲(chǔ)過程
A.3.2 暴露SQLServer開發(fā)環(huán)境中的存儲(chǔ)過程
A.3.3 OLE自動(dòng)化擴(kuò)展存儲(chǔ)過程
A.3.4 訪問操作系統(tǒng)的存儲(chǔ)過程
A.3.5 使用電子郵件的存儲(chǔ)過程
A.4 防御策略
A.4.1 刪除不需要的存儲(chǔ)過程
A.4.2 撤銷存儲(chǔ)過程的公共訪問權(quán)限
A.4.3 審核和跟蹤對(duì)于SQLServer源代碼和許可的變更
附錄B 影響SQLServer安全的一些其他技術(shù)
B.1 ⅥsualStu出O、MicrosonOmce和COM連通性工具
B.1.1 Ⅵsual StudiO
B.1.2 Microson Of6Ce"
B.1.3 數(shù)據(jù)訪問API
B.2 SQLServerMail接口
B.2.1 SQLMall
B.2.2 SQLAgentMail
B.3 Internet信息服務(wù)集成
B.4 SQLServer開發(fā)員和系統(tǒng)管理員工具
B.4.1 SQL-DMO
B.4.2 SQL-NS
B.4.3 DB-Library APl
B.4.4 1SQL.exe和OSQLex~工具
B.4.5 分發(fā)組件
B.4.6 服務(wù)器的連接
B.4.7 數(shù)據(jù)傳輸服務(wù)DTS
B.4.8 批復(fù)制DTS任務(wù)
B.4.9 擴(kuò)展存儲(chǔ)過程的開發(fā)
B.4.10 列表數(shù)據(jù)流TDS
附錄C 連接字符串
C.1 連接屬性
C.2 連接字符串示例
C.3 連接字符串的存放位置
C.3.1 Web.conflg(ASP.NET)或global.asa(ASP)文件
C.3.2 注冊(cè)表
C.3.3 使用DPAPI加密的文本文件
C.3.4 UDL文件
C.3.5 包含文本文件
C.3.6 COM+目錄
附錄D 安全核對(duì)列表
D.1 SQLServer版本核對(duì)列表
D.2 Post-Install核對(duì)列表
D.3 維護(hù)核對(duì)列表


【媒體評(píng)論】