SQL Server安全性

定　價(jià)：￥35.00

作　者：	（美）Chip Andrews等著；周俊杰等譯
出版社：	清華大學(xué)出版社
叢編項(xiàng)：
標(biāo)　簽：	Server

購買這本書可以去

ISBN：	9787302092667	出版時(shí)間：	2004-10-01	包裝：	簡(jiǎn)裝本
開本：	26cm	頁數(shù)：	250	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　創(chuàng)作本書的最初動(dòng)機(jī)是發(fā)現(xiàn)SQL Server是一個(gè)常常被人們忽視的安全領(lǐng)域。SQL Server功能強(qiáng)大，應(yīng)用廣泛，它已經(jīng)找到了進(jìn)入第三方軟件、開發(fā)者的工作站和全球范圍內(nèi)重要后臺(tái)終端系統(tǒng)的方法。在進(jìn)行安全審核的時(shí)代，我們可以明確地告訴您，無論是從系統(tǒng)內(nèi)部或外部威脅到系統(tǒng)安全的時(shí)侯，SQL Server都已要成為并繼續(xù)成為最成功的突破目標(biāo)之一。無論是那些遠(yuǎn)程開發(fā)者或在賓館房間中連接Internet的Microsoft Data Engine （MSDE）的開發(fā)者，或者是在需要的時(shí)候，能很容易連接Internet的那些沒有經(jīng)過過濾的后臺(tái)服務(wù)器的用戶，他們?cè)贒MZ中使用測(cè)試數(shù)據(jù)庫時(shí)，SQL Server對(duì)那些熱衷于安全問題的專家——包括保護(hù)者和攻擊者而言都是一個(gè)豐富的資源。本書的主要讀者對(duì)象定位在計(jì)算機(jī)安全領(lǐng)域的專業(yè)人員、數(shù)據(jù)庫管理員和兼負(fù)SQL Server服務(wù)器和服務(wù)器應(yīng)用程序安全管理任務(wù)的所有人。本書詳細(xì)地介紹了各種基礎(chǔ)知識(shí)，因此學(xué)習(xí)本書沒有必要事先了解整個(gè)SQL Server的內(nèi)置安全機(jī)制。但是理解這些內(nèi)置安全機(jī)制。

作者簡(jiǎn)介

　　Chip Andrews是一位安全專家，在國(guó)際重量級(jí)安全會(huì)議上擔(dān)任得要發(fā)言人。他維護(hù)著SQL Security.com網(wǎng)站并為一些雜志，如Microsoft Certifide Professional、SQL Server Magazine，撰寫SQL Server安全和軟件開發(fā)方面的文章。David Litchfield是NGS軟件公司的創(chuàng)始人，他是全球聞名的安全專家，專門研究Windows NT和Internet的安全問題。他也是Cerberus Internet Scanner（以前是NTInfoscan）的作者，該掃描軟件是當(dāng)今世界最為流行的免費(fèi)的漏洞監(jiān)測(cè)軟件。Bill Grindlay是NGS軟件公司的高級(jí)安全顧問。他最近開發(fā)的項(xiàng)目包括Microsotf SQl Server的掃描軟件NGSSQuirreL和已經(jīng)被廣泛使用的漏洞檢測(cè)儀Typhon III。

圖書目錄

第1章 SQLServer安全：基礎(chǔ)知識(shí)
1.1 SQLServer的歷史
1.2 SQLServer的版本
1.3 通用數(shù)據(jù)庫安全技術(shù)
1.4 SQLServer的安全漏洞
1.4.1 病毒解析：Slammer為什么會(huì)如此成功
1.4.2 預(yù)防另一個(gè)可能的S1amm
1.5 小結(jié)
第2章圍攻SQLServer.攻擊過程分析
2.1 挑選理想的工具
2.2 數(shù)據(jù)還是主機(jī)
2.3 無需認(rèn)證的攻擊
2.3.1 利用緩沖區(qū)溢出
2.3.2 SQL監(jiān)控器端口攻擊
2.3.3 hello故障
2.3.4獵取密碼
2.4 需要認(rèn)證的攻擊
2.4.1 緩沖區(qū)溢出
2.4.2 擴(kuò)展存儲(chǔ)過程
2.4.3 繞過訪問控制機(jī)制
2.5 資源
2.6 代碼列表1
2.7 代碼列表2
2.8 代碼列表3
第3章 SQLSenter的安裝技巧
3.1 規(guī)劃安裝過程
3.1.1 數(shù)據(jù)安全
3.1.2 容錯(cuò)能力
3.1.3 備份方案
3.1.4 災(zāi)難恢復(fù)
3.2 操作系統(tǒng)的因素
3.3 運(yùn)行安裝程序
3.4 鎖定服務(wù)器
3.5 核對(duì)列表
第4章網(wǎng)絡(luò)庫和安全連接
4.1 客戶／服務(wù)器連接
4.2 安全套接字層
4.2.1 SSL基礎(chǔ)
4.2.2 SSL的配置
4.3 SQLServer網(wǎng)絡(luò)庫
4.3.1 主網(wǎng)絡(luò)庫
4.3.2 從網(wǎng)絡(luò)庫
4.4 配置連接
4.4.1 服務(wù)器網(wǎng)絡(luò)實(shí)用程序
4.4.2 客戶端網(wǎng)絡(luò)實(shí)用程序
4.5 優(yōu)秀的經(jīng)驗(yàn)
4.5.1 永遠(yuǎn)不要向互聯(lián)網(wǎng)暴露您的SQLServer端口
4.5.2 盡可能使用TCP／IP網(wǎng)絡(luò)庫
4.5.3 在確實(shí)需要時(shí)再配置網(wǎng)絡(luò)庫
4.5.4 使用128位的SSL連接而不要使用40位的SSL連接
4.5.5 設(shè)置一個(gè)SSL證書以確保進(jìn)行安全登錄
4.5.6 對(duì)高敏感的數(shù)據(jù)進(jìn)行強(qiáng)制加密
4.5.7 配置TCP／IP的時(shí)候請(qǐng)使用隱藏服務(wù)器選項(xiàng)
第5章認(rèn)證和授權(quán)
5.1 認(rèn)證(Authentication)
5.1.1 登錄
5.1.2 數(shù)據(jù)庫用戶
5.1.3 角色
5.2 授權(quán)(AuthOhzatiOn)和許可(Permissions)
5.2.1 GRANT、REVOKE和DENY
5.2.2 審核訪問(AuditingAccess)
5.2.3 所有權(quán)鏈(OwnershipChains)
5.3 SyslOginS、Sysprotects、Syspermissions和其他特殊賬戶
5.3.1 SID與SUID
5.3.2 syslogins和sysxlogins
5.3.3 SySUSer3
5.3.4 syspermissions
5.3.5 sysprotects
5.4 優(yōu)秀的經(jīng)驗(yàn)
5.4.1 Windows活動(dòng)目錄：集中式管理
5.4.2 SQLServer集中式角色管理
5.4.3 挑選適當(dāng)?shù)姆椒?br />第6章企業(yè)中的SQLServer
6.1 SQLServer的復(fù)制
6.1.1 復(fù)制操作概論
6.1.2 復(fù)制時(shí)要考慮的安全問題
6.2 多服務(wù)器系統(tǒng)管理
6.3 活動(dòng)目錄集成
第7章審核與入侵檢測(cè)
7.1 案例分析
7.1.1 RetailCo數(shù)據(jù)庫的運(yùn)作規(guī)模
7.1.2 RetailCo的管理結(jié)構(gòu)
7.1.3 安全策略
7.1.4 怪異之事和合乎法律程序的檢查
7.1.5 結(jié)論
7.2 SQLServer審核
7.2.1 啟用標(biāo)準(zhǔn)的審核
7.2.2 C2級(jí)審核
7.2.3 擴(kuò)展審核功能
7.2.4 使用內(nèi)置跟蹤函數(shù)配置手動(dòng)審核
7.3 SQLServer警報(bào)
7.3.1 配置SQLServer警報(bào)
7.3.2 將SQLServer警報(bào)用作入侵檢測(cè)系統(tǒng)
第8章數(shù)據(jù)加密技術(shù)
8.1 加密技術(shù)概覽
8.2 哈希算法
8.3 Salt(Salts)
8.4 密鑰管理
8.5 內(nèi)置加密函數(shù)
8.6 加密自定義存儲(chǔ)過程
8.7 加密SQLServer表數(shù)據(jù)
8.8 SQLServer網(wǎng)絡(luò)通信的加密
8.9 中間層加密
8.10 第三方COM組件
8.11 加密API
第9章 SQL注入：當(dāng)防火墻鞭長(zhǎng)莫及時(shí)
9.1 SQL注入簡(jiǎn)述
9.2 案例研究：在線外貿(mào)交易系統(tǒng)
9.2.1 審核技術(shù)
9.2.2 漏洞識(shí)別
9.2.3 攻擊系統(tǒng)
9.2.4 案例分析
9.3 高級(jí)主題
9.3.1 利用時(shí)間延遲提取有用信息
9.3.2 系統(tǒng)級(jí)攻擊
9.3.3 為什么SQLServer容易受到SQL注入的攻
9.3.4 攻擊方式
9.4 SQL注入的防護(hù)
9.4.1 輸入驗(yàn)證(1nputValidation)
9.4.2 鑒別不好的設(shè)計(jì)
9.4.3 增強(qiáng)設(shè)計(jì)
9.5 優(yōu)秀的經(jīng)驗(yàn)
9.5.1 設(shè)計(jì)
9.5.2 開發(fā)／實(shí)現(xiàn)
9.5.3 QA／測(cè)試
9.5.4 配置
第10章安全體系結(jié)構(gòu)
10.1 深度防護(hù)
10.2 安全性需求
10.2.1 收集需求
10.2.2 已有的環(huán)境
10.2.3 理解應(yīng)用程序的安全需求
10.2.4保護(hù)您的應(yīng)用程序
10.3 規(guī)劃
10.3.1 依托技術(shù)做決策
10.3.2 依托評(píng)審過程做決策
10.3.3 依托代碼標(biāo)準(zhǔn)做決策
10.3.4 防止安全水準(zhǔn)的下降
10.4 開發(fā)
10.4.1 良好的編碼習(xí)慣
10.4.2 編寫存儲(chǔ)過程的一些良好的習(xí)慣
10.4.3 輸入驗(yàn)證
10.4.4 推薦的開發(fā)防護(hù)措施
10.4.5 一些不好的編碼習(xí)慣及其克服方法
10.5 測(cè)試
10.5.1 測(cè)試的手段
10.5.2 模糊化處理(Fuzzing)
10.5.3 一些技巧
10.5.4 深度覆蓋
10.5.5 結(jié)果報(bào)告
10.6 配置
10.6.1 配置的規(guī)劃
10.6.2 過程的構(gòu)造
10.6.3 問題的解決方法
10.7 維護(hù)
10.7.1 安全+不安全=不安全
10.7.2 閱讀日志
10.7.3 注意收集證據(jù)
附錄A 系統(tǒng)存儲(chǔ)過程與擴(kuò)展存儲(chǔ)過程
A.1 限制存儲(chǔ)過程的風(fēng)險(xiǎn)
A.1.1 將攻擊范圍壓縮到最小
A.1.2 將訪問權(quán)限降到最低
A.1.3 將應(yīng)用程序運(yùn)行時(shí)的賬產(chǎn)權(quán)限調(diào)整到最小
A.2 存儲(chǔ)過程的攻擊策略
A.2.1 創(chuàng)建特洛伊木馬存儲(chǔ)過程
A.2.2 利用社會(huì)工程學(xué)使用系統(tǒng)存儲(chǔ)過程
A.3 高危險(xiǎn)性的系統(tǒng)存儲(chǔ)過程和擴(kuò)展存儲(chǔ)過程
A.3.1 訪問注冊(cè)表的擴(kuò)展存儲(chǔ)過程
A.3.2 暴露SQLServer開發(fā)環(huán)境中的存儲(chǔ)過程
A.3.3 OLE自動(dòng)化擴(kuò)展存儲(chǔ)過程
A.3.4 訪問操作系統(tǒng)的存儲(chǔ)過程
A.3.5 使用電子郵件的存儲(chǔ)過程
A.4 防御策略
A.4.1 刪除不需要的存儲(chǔ)過程
A.4.2 撤銷存儲(chǔ)過程的公共訪問權(quán)限
A.4.3 審核和跟蹤對(duì)于SQLServer源代碼和許可的變更
附錄B 影響SQLServer安全的一些其他技術(shù)
B.1 ⅥsualStu出O、MicrosonOmce和COM連通性工具
B.1.1 Ⅵsual StudiO
B.1.2 Microson Of6Ce"
B.1.3 數(shù)據(jù)訪問API
B.2 SQLServerMail接口
B.2.1 SQLMall
B.2.2 SQLAgentMail
B.3 Internet信息服務(wù)集成
B.4 SQLServer開發(fā)員和系統(tǒng)管理員工具
B.4.1 SQL-DMO
B.4.2 SQL-NS
B.4.3 DB-Library APl
B.4.4 1SQL.exe和OSQLex~工具
B.4.5 分發(fā)組件
B.4.6 服務(wù)器的連接
B.4.7 數(shù)據(jù)傳輸服務(wù)DTS
B.4.8 批復(fù)制DTS任務(wù)
B.4.9 擴(kuò)展存儲(chǔ)過程的開發(fā)
B.4.10 列表數(shù)據(jù)流TDS
附錄C 連接字符串
C.1 連接屬性
C.2 連接字符串示例
C.3 連接字符串的存放位置
C.3.1 Web.conflg(ASP.NET)或global.asa(ASP)文件
C.3.2 注冊(cè)表
C.3.3 使用DPAPI加密的文本文件
C.3.4 UDL文件
C.3.5 包含文本文件
C.3.6 COM+目錄
附錄D 安全核對(duì)列表
D.1 SQLServer版本核對(duì)列表
D.2 Post-Install核對(duì)列表
D.3 維護(hù)核對(duì)列表

【媒體評(píng)論】