SQL Server安全性

定　價：￥35.00

作　者：	（美）Chip Andrews等著；周俊杰等譯
出版社：	清華大學(xué)出版社
叢編項：
標(biāo)　簽：	Server

購買這本書可以去

ISBN：	9787302092667	出版時間：	2004-10-01	包裝：	簡裝本
開本：	26cm	頁數(shù)：	250	字?jǐn)?shù)：

內(nèi)容簡介

　　創(chuàng)作本書的最初動機是發(fā)現(xiàn)SQL Server是一個常常被人們忽視的安全領(lǐng)域。SQL Server功能強大，應(yīng)用廣泛，它已經(jīng)找到了進入第三方軟件、開發(fā)者的工作站和全球范圍內(nèi)重要后臺終端系統(tǒng)的方法。在進行安全審核的時代，我們可以明確地告訴您，無論是從系統(tǒng)內(nèi)部或外部威脅到系統(tǒng)安全的時侯，SQL Server都已要成為并繼續(xù)成為最成功的突破目標(biāo)之一。無論是那些遠程開發(fā)者或在賓館房間中連接Internet的Microsoft Data Engine （MSDE）的開發(fā)者，或者是在需要的時候，能很容易連接Internet的那些沒有經(jīng)過過濾的后臺服務(wù)器的用戶，他們在DMZ中使用測試數(shù)據(jù)庫時，SQL Server對那些熱衷于安全問題的專家——包括保護者和攻擊者而言都是一個豐富的資源。本書的主要讀者對象定位在計算機安全領(lǐng)域的專業(yè)人員、數(shù)據(jù)庫管理員和兼負SQL Server服務(wù)器和服務(wù)器應(yīng)用程序安全管理任務(wù)的所有人。本書詳細地介紹了各種基礎(chǔ)知識，因此學(xué)習(xí)本書沒有必要事先了解整個SQL Server的內(nèi)置安全機制。但是理解這些內(nèi)置安全機制。

作者簡介

　　Chip Andrews是一位安全專家，在國際重量級安全會議上擔(dān)任得要發(fā)言人。他維護著SQL Security.com網(wǎng)站并為一些雜志，如Microsoft Certifide Professional、SQL Server Magazine，撰寫SQL Server安全和軟件開發(fā)方面的文章。David Litchfield是NGS軟件公司的創(chuàng)始人，他是全球聞名的安全專家，專門研究Windows NT和Internet的安全問題。他也是Cerberus Internet Scanner（以前是NTInfoscan）的作者，該掃描軟件是當(dāng)今世界最為流行的免費的漏洞監(jiān)測軟件。Bill Grindlay是NGS軟件公司的高級安全顧問。他最近開發(fā)的項目包括Microsotf SQl Server的掃描軟件NGSSQuirreL和已經(jīng)被廣泛使用的漏洞檢測儀Typhon III。

圖書目錄

第1章 SQLServer安全：基礎(chǔ)知識
1.1 SQLServer的歷史
1.2 SQLServer的版本
1.3 通用數(shù)據(jù)庫安全技術(shù)
1.4 SQLServer的安全漏洞
1.4.1 病毒解析：Slammer為什么會如此成功
1.4.2 預(yù)防另一個可能的S1amm
1.5 小結(jié)
第2章圍攻SQLServer.攻擊過程分析
2.1 挑選理想的工具
2.2 數(shù)據(jù)還是主機
2.3 無需認(rèn)證的攻擊
2.3.1 利用緩沖區(qū)溢出
2.3.2 SQL監(jiān)控器端口攻擊
2.3.3 hello故障
2.3.4獵取密碼
2.4 需要認(rèn)證的攻擊
2.4.1 緩沖區(qū)溢出
2.4.2 擴展存儲過程
2.4.3 繞過訪問控制機制
2.5 資源
2.6 代碼列表1
2.7 代碼列表2
2.8 代碼列表3
第3章 SQLSenter的安裝技巧
3.1 規(guī)劃安裝過程
3.1.1 數(shù)據(jù)安全
3.1.2 容錯能力
3.1.3 備份方案
3.1.4 災(zāi)難恢復(fù)
3.2 操作系統(tǒng)的因素
3.3 運行安裝程序
3.4 鎖定服務(wù)器
3.5 核對列表
第4章網(wǎng)絡(luò)庫和安全連接
4.1 客戶／服務(wù)器連接
4.2 安全套接字層
4.2.1 SSL基礎(chǔ)
4.2.2 SSL的配置
4.3 SQLServer網(wǎng)絡(luò)庫
4.3.1 主網(wǎng)絡(luò)庫
4.3.2 從網(wǎng)絡(luò)庫
4.4 配置連接
4.4.1 服務(wù)器網(wǎng)絡(luò)實用程序
4.4.2 客戶端網(wǎng)絡(luò)實用程序
4.5 優(yōu)秀的經(jīng)驗
4.5.1 永遠不要向互聯(lián)網(wǎng)暴露您的SQLServer端口
4.5.2 盡可能使用TCP／IP網(wǎng)絡(luò)庫
4.5.3 在確實需要時再配置網(wǎng)絡(luò)庫
4.5.4 使用128位的SSL連接而不要使用40位的SSL連接
4.5.5 設(shè)置一個SSL證書以確保進行安全登錄
4.5.6 對高敏感的數(shù)據(jù)進行強制加密
4.5.7 配置TCP／IP的時候請使用隱藏服務(wù)器選項
第5章認(rèn)證和授權(quán)
5.1 認(rèn)證(Authentication)
5.1.1 登錄
5.1.2 數(shù)據(jù)庫用戶
5.1.3 角色
5.2 授權(quán)(AuthOhzatiOn)和許可(Permissions)
5.2.1 GRANT、REVOKE和DENY
5.2.2 審核訪問(AuditingAccess)
5.2.3 所有權(quán)鏈(OwnershipChains)
5.3 SyslOginS、Sysprotects、Syspermissions和其他特殊賬戶
5.3.1 SID與SUID
5.3.2 syslogins和sysxlogins
5.3.3 SySUSer3
5.3.4 syspermissions
5.3.5 sysprotects
5.4 優(yōu)秀的經(jīng)驗
5.4.1 Windows活動目錄：集中式管理
5.4.2 SQLServer集中式角色管理
5.4.3 挑選適當(dāng)?shù)姆椒?br />第6章企業(yè)中的SQLServer
6.1 SQLServer的復(fù)制
6.1.1 復(fù)制操作概論
6.1.2 復(fù)制時要考慮的安全問題
6.2 多服務(wù)器系統(tǒng)管理
6.3 活動目錄集成
第7章審核與入侵檢測
7.1 案例分析
7.1.1 RetailCo數(shù)據(jù)庫的運作規(guī)模
7.1.2 RetailCo的管理結(jié)構(gòu)
7.1.3 安全策略
7.1.4 怪異之事和合乎法律程序的檢查
7.1.5 結(jié)論
7.2 SQLServer審核
7.2.1 啟用標(biāo)準(zhǔn)的審核
7.2.2 C2級審核
7.2.3 擴展審核功能
7.2.4 使用內(nèi)置跟蹤函數(shù)配置手動審核
7.3 SQLServer警報
7.3.1 配置SQLServer警報
7.3.2 將SQLServer警報用作入侵檢測系統(tǒng)
第8章數(shù)據(jù)加密技術(shù)
8.1 加密技術(shù)概覽
8.2 哈希算法
8.3 Salt(Salts)
8.4 密鑰管理
8.5 內(nèi)置加密函數(shù)
8.6 加密自定義存儲過程
8.7 加密SQLServer表數(shù)據(jù)
8.8 SQLServer網(wǎng)絡(luò)通信的加密
8.9 中間層加密
8.10 第三方COM組件
8.11 加密API
第9章 SQL注入：當(dāng)防火墻鞭長莫及時
9.1 SQL注入簡述
9.2 案例研究：在線外貿(mào)交易系統(tǒng)
9.2.1 審核技術(shù)
9.2.2 漏洞識別
9.2.3 攻擊系統(tǒng)
9.2.4 案例分析
9.3 高級主題
9.3.1 利用時間延遲提取有用信息
9.3.2 系統(tǒng)級攻擊
9.3.3 為什么SQLServer容易受到SQL注入的攻
9.3.4 攻擊方式
9.4 SQL注入的防護
9.4.1 輸入驗證(1nputValidation)
9.4.2 鑒別不好的設(shè)計
9.4.3 增強設(shè)計
9.5 優(yōu)秀的經(jīng)驗
9.5.1 設(shè)計
9.5.2 開發(fā)／實現(xiàn)
9.5.3 QA／測試
9.5.4 配置
第10章安全體系結(jié)構(gòu)
10.1 深度防護
10.2 安全性需求
10.2.1 收集需求
10.2.2 已有的環(huán)境
10.2.3 理解應(yīng)用程序的安全需求
10.2.4保護您的應(yīng)用程序
10.3 規(guī)劃
10.3.1 依托技術(shù)做決策
10.3.2 依托評審過程做決策
10.3.3 依托代碼標(biāo)準(zhǔn)做決策
10.3.4 防止安全水準(zhǔn)的下降
10.4 開發(fā)
10.4.1 良好的編碼習(xí)慣
10.4.2 編寫存儲過程的一些良好的習(xí)慣
10.4.3 輸入驗證
10.4.4 推薦的開發(fā)防護措施
10.4.5 一些不好的編碼習(xí)慣及其克服方法
10.5 測試
10.5.1 測試的手段
10.5.2 模糊化處理(Fuzzing)
10.5.3 一些技巧
10.5.4 深度覆蓋
10.5.5 結(jié)果報告
10.6 配置
10.6.1 配置的規(guī)劃
10.6.2 過程的構(gòu)造
10.6.3 問題的解決方法
10.7 維護
10.7.1 安全+不安全=不安全
10.7.2 閱讀日志
10.7.3 注意收集證據(jù)
附錄A 系統(tǒng)存儲過程與擴展存儲過程
A.1 限制存儲過程的風(fēng)險
A.1.1 將攻擊范圍壓縮到最小
A.1.2 將訪問權(quán)限降到最低
A.1.3 將應(yīng)用程序運行時的賬產(chǎn)權(quán)限調(diào)整到最小
A.2 存儲過程的攻擊策略
A.2.1 創(chuàng)建特洛伊木馬存儲過程
A.2.2 利用社會工程學(xué)使用系統(tǒng)存儲過程
A.3 高危險性的系統(tǒng)存儲過程和擴展存儲過程
A.3.1 訪問注冊表的擴展存儲過程
A.3.2 暴露SQLServer開發(fā)環(huán)境中的存儲過程
A.3.3 OLE自動化擴展存儲過程
A.3.4 訪問操作系統(tǒng)的存儲過程
A.3.5 使用電子郵件的存儲過程
A.4 防御策略
A.4.1 刪除不需要的存儲過程
A.4.2 撤銷存儲過程的公共訪問權(quán)限
A.4.3 審核和跟蹤對于SQLServer源代碼和許可的變更
附錄B 影響SQLServer安全的一些其他技術(shù)
B.1 ⅥsualStu出O、MicrosonOmce和COM連通性工具
B.1.1 Ⅵsual StudiO
B.1.2 Microson Of6Ce"
B.1.3 數(shù)據(jù)訪問API
B.2 SQLServerMail接口
B.2.1 SQLMall
B.2.2 SQLAgentMail
B.3 Internet信息服務(wù)集成
B.4 SQLServer開發(fā)員和系統(tǒng)管理員工具
B.4.1 SQL-DMO
B.4.2 SQL-NS
B.4.3 DB-Library APl
B.4.4 1SQL.exe和OSQLex~工具
B.4.5 分發(fā)組件
B.4.6 服務(wù)器的連接
B.4.7 數(shù)據(jù)傳輸服務(wù)DTS
B.4.8 批復(fù)制DTS任務(wù)
B.4.9 擴展存儲過程的開發(fā)
B.4.10 列表數(shù)據(jù)流TDS
附錄C 連接字符串
C.1 連接屬性
C.2 連接字符串示例
C.3 連接字符串的存放位置
C.3.1 Web.conflg(ASP.NET)或global.asa(ASP)文件
C.3.2 注冊表
C.3.3 使用DPAPI加密的文本文件
C.3.4 UDL文件
C.3.5 包含文本文件
C.3.6 COM+目錄
附錄D 安全核對列表
D.1 SQLServer版本核對列表
D.2 Post-Install核對列表
D.3 維護核對列表

【媒體評論】