資料庫保護如何設置

『壹』 如何設置資料庫的許可權

1、首先用管理員進入資料庫級中的安全性，點擊登錄名，點擊新建登錄名。

『貳』 資料庫保護詳細內容(從哪幾方面進行資料庫保護)

1、開啟守護進程保證在資料庫服務down之後可以立即重啟服務。

2、資料庫安全最重要的就是數據安全，數據安全需要：
a、定期備份，且備份文件建議放到其他文件伺服器上保存。
b、如果有資金允許可以嘗試做資料庫集群，保證資料庫的高可用。
c、定期檢查磁碟性能，防止磁碟性能不佳導致資料庫響應慢。
3、設置監控，保證資料庫性能有異常時及時發現及時處理。

『叄』 如何確保數據安全

1.數據脫敏

數據脫敏是保證數據安全的最基本的手段，脫敏方法有很多，最常用的就是使用可逆加密演算法，對入倉每一個敏感欄位都需要加密。比如手機號，郵箱，身份證號，銀行卡號等信息

2.數據許可權控制

需要開發一套完善的數據許可權控制體系，最好是能做到欄位級別，有些表無關人員是不需要查詢的，所以不需要任何許可權，有些表部分人需要查詢，除數據工程師外，其他人均需要通過OA流程進行許可權審批，需要查看哪些表的哪些欄位，為什麼需要這個許可權等信息都需要審批存檔。

3.程序檢查

有些欄位明顯是敏感數據，比如身份證號，手機號等信息，但是業務庫並沒有加密，而且從欄位名來看，也很難看出是敏感信息，所以抽取到數據倉庫後需要使用程序去統一檢測是否有敏感數據，然後根據檢測結果讓對應負責人去確認是否真的是敏感欄位，是否需要加密等。

4.流程化操作

流程化主要是體現在公司內部取數或者外部項目數據同步，取數的時候如果數據量很大或者包含了敏感信息，是需要提OA 審批流程的，讓大家知道誰要取這些數據，取這些數據的意義在哪，出了問題可以回溯，快速定位到責任人。開發外部項目的時候，不同公司之間的數據同步，是需要由甲方出具同意書的，否則的話風險太大。

5.敏感SQL實時審查及操作日誌分析

及時發現敏感sql的執行並詢問責任人，事後分析操作日誌，查出有問題的操作。

6.部門重視數據安全

把數據安全當做一項KPI去考核，讓大家積極的參與到數據安全管理當中去。

『肆』 如何保護資料庫

資料庫系統的安全除依賴自身內部的安全機制外，還與外部網路環境、應用環境、從業人員素質等因素息息相關，因此，從廣義上講，資料庫系統的安全框架可以劃分為三個層次：

⑴ 網路系統層次；

⑵ 宿主操作系統層次；

⑶ 資料庫管理系統層次。

這三個層次構築成資料庫系統的安全體系，與數據安全的關系是逐步緊密的，防範的重要性也逐層加強，從外到內、由表及裡保證數據的安全。下面就安全框架的三個層次展開論述。

2. 網路系統層次安全技術

從廣義上講，資料庫的安全首先倚賴於網路系統。隨著Internet的發展普及，越來越多的公司將其核心業務向互聯網轉移，各種基於網路的資料庫應用系統如雨後春筍般涌現出來，面向網路用戶提供各種信息服務。可以說網路系統是資料庫應用的外部環境和基礎，資料庫系統要發揮其強大作用離不開網路系統的支持，資料庫系統的用戶（如異地用戶、分布式用戶）也要通過網路才能訪問資料庫的數據。網路系統的安全是資料庫安全的第一道屏障，外部入侵首先就是從入侵網路系統開始的。網路入侵試圖破壞信息系統的完整性、機密性或可信任的任何網路活動的集合，具有以下特點：

a）沒有地域和時間的限制，跨越國界的攻擊就如同在現場一樣方便；

b）通過網路的攻擊往往混雜在大量正常的網路活動之中，隱蔽性強；

c）入侵手段更加隱蔽和復雜。

計算機網路系統開放式環境面臨的威脅主要有以下幾種類型：a)欺騙（Masquerade）；b)重發(Replay)；c)報文修改(Modification of message)；d)拒絕服務(Deny of service)；e)陷阱門(Trapdoor)；f)特洛伊木馬(Trojan horse)；g)攻擊如透納攻擊（Tunneling Attack）、應用軟體攻擊等。這些安全威脅是無時、無處不在的，因此必須採取有效的措施來保障系統的安全。

從技術角度講，網路系統層次的安全防範技術有很多種，大致可以分為防火牆、入侵檢測、協作式入侵檢測技術等。

⑴防火牆。防火牆是應用最廣的一種防範技術。作為系統的第一道防線，其主要作用是監控可信任網路和不可信任網路之間的訪問通道，可在內部與外部網路之間形成一道防護屏障，攔截來自外部的非法訪問並阻止內部信息的外泄，但它無法阻攔來自網路內部的非法操作。它根據事先設定的規則來確定是否攔截信息流的進出，但無法動態識別或自適應地調整規則，因而其智能化程度很有限。防火牆技術主要有三種：數據包過濾器(packet filter)、代理(proxy)和狀態分析(stateful inspection)。現代防火牆產品通常混合使用這幾種技術。

⑵入侵檢測。入侵檢測(IDS-- Instrusion Detection System)是近年來發展起來的一種防範技術，綜合採用了統計技術、規則方法、網路通信技術、人工智慧、密碼學、推理等技術和方法，其作用是監控網路和計算機系統是否出現被入侵或濫用的徵兆。1987年，Derothy Denning首次提出了一種檢測入侵的思想，經過不斷發展和完善，作為監控和識別攻擊的標准解決方案，IDS系統已經成為安全防禦系統的重要組成部分。

入侵檢測採用的分析技術可分為三大類：簽名、統計和數據完整性分析法。

①簽名分析法。主要用來監測對系統的已知弱點進行攻擊的行為。人們從攻擊模式中歸納出它的簽名，編寫到IDS系統的代碼里。簽名分析實際上是一種模板匹配操作。

②統計分析法。以統計學為理論基礎，以系統正常使用情況下觀察到的動作模式為依據來判別某個動作是否偏離了正常軌道。

③數據完整性分析法。以密碼學為理論基礎，可以查證文件或者對象是否被別人修改過。

IDS的種類包括基於網路和基於主機的入侵監測系統、基於特徵的和基於非正常的入侵監測系統、實時和非實時的入侵監測系統等。

⑶協作式入侵監測技術

獨立的入侵監測系統不能夠對廣泛發生的各種入侵活動都做出有效的監測和反應，為了彌補獨立運作的不足，人們提出了協作式入侵監測系統的想法。在協作式入侵監測系統中，IDS基於一種統一的規范，入侵監測組件之間自動地交換信息，並且通過信息的交換得到了對入侵的有效監測，可以應用於不同的網路環境。

3. 宿主操作系統層次安全技術

操作系統是大型資料庫系統的運行平台，為資料庫系統提供一定程度的安全保護。目前操作系統平台大多數集中在Windows NT 和Unix，安全級別通常為C1、C2級。主要安全技術有操作系統安全策略、安全管理策略、數據安全等方面。

操作系統安全策略用於配置本地計算機的安全設置，包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權利指派、加密數據的恢復代理以及其它安全選項[7]。具體可以體現在用戶賬戶、口令、訪問許可權、審計等方面。

用戶賬戶：用戶訪問系統的"身份證"，只有合法用戶才有賬戶。

口令：用戶的口令為用戶訪問系統提供一道驗證。

訪問許可權：規定用戶的許可權。

審計：對用戶的行為進行跟蹤和記錄，便於系統管理員分析系統的訪問情況以及事後的追查使用。

安全管理策略是指網路管理員對系統實施安全管理所採取的方法及策略。針對不同的操作系統、網路環境需要採取的安全管理策略一般也不盡相同，其核心是保證伺服器的安全和分配好各類用戶的許可權。

數據安全主要體現在以下幾個方面：數據加密技術、數據備份、數據存儲的安全性、數據傳輸的安全性等。可以採用的技術很多，主要有Kerberos認證、IPSec、SSL、TLS、VPN（PPTP、L2TP）等技術。

4. 資料庫管理系統層次安全技術

資料庫系統的安全性很大程度上依賴於資料庫管理系統。如果資料庫管理系統安全機制非常強大，則資料庫系統的安全性能就較好。目前市場上流行的是關系式資料庫管理系統，其安全性功能很弱，這就導致資料庫系統的安全性存在一定的威脅。

由於資料庫系統在操作系統下都是以文件形式進行管理的，因此入侵者可以直接利用操作系統的漏洞竊取資料庫文件，或者直接利用OS工具來非法偽造、篡改資料庫文件內容。這種隱患一般資料庫用戶難以察覺，分析和堵塞這種漏洞被認為是B2級的安全技術措施。

資料庫管理系統層次安全技術主要是用來解決這一問題，即當前面兩個層次已經被突破的情況下仍能保障資料庫數據的安全，這就要求資料庫管理系統必須有一套強有力的安全機制。解決這一問題的有效方法之一是資料庫管理系統對資料庫文件進行加密處理，使得即使數據不幸泄露或者丟失，也難以被人破譯和閱讀。

我們可以考慮在三個不同層次實現對資料庫數據的加密，這三個層次分別是OS層、DBMS內核層和DBMS外層。

⑴在OS層加密。在OS層無法辨認資料庫文件中的數據關系，從而無法產生合理的密鑰，對密鑰合理的管理和使用也很難。所以，對大型資料庫來說，在OS層對資料庫文件進行加密很難實現。

⑵在DBMS內核層實現加密。這種加密是指數據在物理存取之前完成加/脫密工作。這種加密方式的優點是加密功能強，並且加密功能幾乎不會影響DBMS的功能，可以實現加密功能與資料庫管理系統之間的無縫耦合。其缺點是加密運算在伺服器端進行，加重了伺服器的負載，而且DBMS和加密器之間的介面需要DBMS開發商的支持。

定義加密要求工具

DBMS

資料庫應用系統

加密器

（軟體或硬體）

⑶在DBMS外層實現加密。比較實際的做法是將資料庫加密系統做成DBMS的一個外層工具，根據加密要求自動完成對資料庫數據的加/脫密處理：

定義加密要求工具加密器

（軟體或硬體）

DBMS

資料庫應用系統

採用這種加密方式進行加密，加/脫密運算可在客戶端進行，它的優點是不會加重資料庫伺服器的負載並且可以實現網上傳輸的加密，缺點是加密功能會受到一些限制，與資料庫管理系統之間的耦合性稍差。

下面我們進一步解釋在DBMS外層實現加密功能的原理：

資料庫加密系統分成兩個功能獨立的主要部件：一個是加密字典管理程序，另一個是資料庫加/脫密引擎。資料庫加密系統將用戶對資料庫信息具體的加密要求以及基礎信息保存在加密字典中，通過調用數據加/脫密引擎實現對資料庫表的加密、脫密及數據轉換等功能。資料庫信息的加/脫密處理是在後台完成的，對資料庫伺服器是透明的。

加密字典管理程序

加密系統

應用程序

資料庫加脫密引擎

資料庫伺服器

加密字典

用戶數據

按以上方式實現的資料庫加密系統具有很多優點：首先，系統對資料庫的最終用戶是完全透明的，管理員可以根據需要進行明文和密文的轉換工作；其次，加密系統完全獨立於資料庫應用系統，無須改動資料庫應用系統就能實現數據加密功能；第三，加解密處理在客戶端進行，不會影響資料庫伺服器的效率。

資料庫加/脫密引擎是資料庫加密系統的核心部件，它位於應用程序與資料庫伺服器之間，負責在後台完成資料庫信息的加/脫密處理，對應用開發人員和操作人員來說是透明的。數據加/脫密引擎沒有操作界面，在需要時由操作系統自動載入並駐留在內存中，通過內部介面與加密字典管理程序和用戶應用程序通訊。資料庫加/脫密引擎由三大模塊組成：加/脫密處理模塊、用戶介面模塊和資料庫介面模塊，如圖4所示。其中，"資料庫介面模塊"的主要工作是接受用戶的操作請求，並傳遞給"加/脫密處理模塊"，此外還要代替"加/脫密處理模塊"去訪問資料庫伺服器，並完成外部介面參數與加/脫密引擎內部數據結構之間的轉換。"加/脫密處理模塊"完成資料庫加/脫密引擎的初始化、內部專用命令的處理、加密字典信息的檢索、加密字典緩沖區的管理、SQL命令的加密變換、查詢結果的脫密處理以及加脫密演算法實現等功能，另外還包括一些公用的輔助函數。

數據加/脫密處理的主要流程如下：

1） 對SQL命令進行語法分析，如果語法正確，轉下一步；如不正確，則轉6），直接將SQL命令交資料庫伺服器處理。

2） 是否為資料庫加/脫密引擎的內部控制命令？如果是，則處理內部控制命令，然後轉7）；如果不是則轉下一步。

3） 檢查資料庫加/脫密引擎是否處於關閉狀態或SQL命令是否只需要編譯？如果是則轉6），否則轉下一步。

4） 檢索加密字典，根據加密定義對SQL命令進行加脫密語義分析。

5） SQL命令是否需要加密處理？如果是，則將SQL命令進行加密變換，替換原SQL命令，然後轉下一步；否則直接轉下一步。

6） 將SQL命令轉送資料庫伺服器處理。

7） SQL命令執行完畢，清除SQL命令緩沖區。

以上以一個例子說明了在DBMS外層實現加密功能的原理。

『伍』 寶馬數據保護在哪設置

寶馬數據保護自帶，無需單獨設置。寶馬車輛里程錶數據保護技術榮獲德國汽車俱樂部頒發的創新與環境類別黃色天使獎，有效防止車輛里程數據被篡改、確實保障BMW二手車用戶權益。作為汽車行業最受關注的獎項之一，由德國汽車俱樂部頒發的黃色天使大獎已經邁入第九個年頭。

車輛里程錶數據保護的作用

車輛里程錶數據保護技術是寶馬集團為應對日趨增多的里程數篡改伎倆而採取的持續性的、系統性的措施和成果，確實保障了BMW二手車用戶的合法權益。早在1993年，BMW就已將防止篡改里程數的技術用於當時的BMW7系，並不斷改進，隨後推廣至BMW集團所有車型。

目前，所有BMW集團車輛裝載的軟體都具備防止人為修改里程數據的功能。車輛的實際里程數據被記錄在若干控制單元中，在硬體方面，電子裝置的卡裝、密封和其它物理防護措施，也使得對里程數據的修改變得極其困難。

『陸』 怎樣對資料庫進行安全性保護

SQL Server 2000的安全配置在進行SQL Server 2000資料庫的安全配置之前，首先你必須對操作系統進行安全配置，保證你的操作系統處於安全狀態。然後對你要使用的操作資料庫軟體（程序）進行必要的安全審核，比如對ASP、PHP等腳本，這是很多基於資料庫的WEB應用常出現的安全隱患，對於腳本主要是一個過濾問題，需要過濾一些類似 , 『 ; @ / 等字元，防止破壞者構造惡意的SQL語句。接著，安裝SQL Server2000後請打上補丁sp1,sp2以及最新的sp3,sp4。
在做完上面三步基礎之後，我們再來討論SQL Server的安全配置。

1、使用安全的密碼策略

我們把密碼策略擺在所有安全配置的第一步，請注意，很多資料庫帳號的密碼過於簡單，這跟系統密碼過於簡單是一個道理。對於sa更應該注意，同時不要讓sa帳號的密碼寫於應用程序或者腳本中。健壯的密碼是安全的第一步！SQL Server2000安裝的時候，如果是使用混合模式，那麼就需要輸入sa的密碼，除非你確認必須使用空密碼。這比以前的版本有所改進。同時養成定期修改密碼的好習慣。資料庫管理員應該定期查看是否有不符合密碼要求的帳號。

比如使用下面的SQL語句：
Use master
Select name,Password from syslogins where password is null

2、使用安全的帳號策略

由於SQL Server不能更改sa用戶名稱，也不能刪除這個超級用戶，所以，我們必須對這個帳號進行最強的保護，當然，包括使用一個非常強壯的密碼，最好不要在資料庫應用中使用sa帳號，只有當沒有其它方法登錄到 SQL Server 實例（例如，當其它系統管理員不可用或忘記了密碼）時才使用 sa。建議資料庫管理員新建立個擁有與sa一樣許可權的超級用戶來管理資料庫。安全的帳號策略還包括不要讓管理員許可權的帳號泛濫。

SQL Server的認證模式有Windows身份認證和混合身份認證兩種。如果資料庫管理員不希望操作系統管理員來通過操作系統登陸來接觸資料庫的話，可以在帳號管理中把系統帳號「BUILTIN\Administrators」刪除。不過這樣做的結果是一旦sa帳號忘記密碼的話，就沒有辦法來恢復了。很多主機使用資料庫應用只是用來做查詢、修改等簡單功能的，請根據實際需要分配帳號，並賦予僅僅能夠滿足應用要求和需要的許可權。比如，只要查詢功能的，那麼就使用一個簡單的public帳號能夠select就可以了。

3、加強資料庫日誌的記錄

審核資料庫登錄事件的「失敗和成功」，在實例屬性中選擇「安全性」，將其中的審核級別選定為全部，這樣在資料庫系統和操作系統日誌裡面，就詳細記錄了所有帳號的登錄事件。請定期查看SQL Server日誌檢查是否有可疑的登錄事件發生，或者使用DOS命令。findstr /C:"登錄" d:\Microsoft SQL Server\MSSQL\LOG\*.*

4、管理擴展存儲過程

對存儲過程進行大手術，並且對帳號調用擴展存儲過程的許可權要慎重。其實在多數應用中根本用不到多少系統的存儲過程，而SQL Server的這么多系統存儲過程只是用來適應廣大用戶需求的，所以請刪除不必要的存儲過程，因為有些系統的存儲過程能很容易地被人利用起來提升許可權或進行破壞。如果你不需要擴展存儲過程xp_cmdshell請把它去掉。使用這個SQL語句：
use master
sp_dropextendedproc 'xp_cmdshell'
xp_cmdshell是進入操作系統的最佳捷徑，是資料庫留給操作系統的一個大後門。如果你需要這個存儲過程，請用這個語句也可以恢復過來。
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
如果你不需要請丟棄OLE自動存儲過程（會造成管理器中的某些特徵不能使用），
這些過程包括如下：
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊表訪問的存儲過程，注冊表存儲過程甚至能夠讀出操作系統管理員的密碼來，如下：
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
還有一些其他的擴展存儲過程，你也最好檢查檢查。在處理存儲過程的時候，請確認一下，避免造成對資料庫或應用程序的傷害。

5、使用協議加密

SQL Server 2000使用的Tabular Data Stream協議來進行網路數據交換，如果不加密的話，所有的網路傳輸都是明文的，包括密碼、資料庫內容等等，這是一個很大的安全威脅。能被人在網路中截獲到他們需要的東西，包括資料庫帳號和密碼。所以，在條件容許情況下，最好使用SSL來加密協議，當然，你需要一個證書來支持。

6、不要讓人隨便探測到你的TCP/IP埠

默認情況下，SQL Server使用1433埠監聽，很多人都說SQL Server配置的時候要把這個埠改變，這樣別人就不能很容易地知道使用的什麼埠了。可惜，通過微軟未公開的1434埠的UDP探測可以很容易知道SQL Server使用的什麼TCP/IP埠了。不過微軟還是考慮到了這個問題，畢竟公開而且開放的埠會引起不必要的麻煩。在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例。如果隱藏了 SQL Server 實例，則將禁止對試圖枚舉網路上現有的 SQL Server 實例的客戶端所發出的廣播作出響應。這樣，別人就不能用1434來探測你的TCP/IP埠了（除非用Port Scan）。

7、修改TCP/IP使用的埠

請在上一步配置的基礎上，更改原默認的1433埠。在實例屬性中選擇網路配置中的TCP/IP協議的屬性，將TCP/IP使用的默認埠變為其他埠.

9、拒絕來自1434埠的探測

由於1434埠探測沒有限制，能夠被別人探測到一些資料庫信息，而且還可能遭到DOS攻擊讓資料庫伺服器的CPU負荷增大，所以對Windows 2000操作系統來說，在IPSec過濾拒絕掉1434埠的UDP通訊，可以盡可能地隱藏你的SQL Server。

10、對網路連接進行IP限制

SQL Server 2000資料庫系統本身沒有提供網路連接的安全解決辦法，但是Windows 2000提供了這樣的安全機制。使用操作系統自己的IPSec可以實現IP數據包的安全性。請對IP連接進行限制，只保證自己的IP能夠訪問，也拒絕其他IP進行的埠連接，把來自網路上的安全威脅進行有效的控制。

『柒』 求：如何有效的保護資料庫的安全

1.操作系統及時打安全補丁。建立有效的防病毒防攻擊防火牆。
2.定期及時進行備份，根據數據重要程序選擇備份周期。除備份到本機外，還要將備份數據定期備份到異地，以防自然災害等不測事故發生。
3.管理員用戶設置密碼，用戶按不同許可權訪問資料庫。

『捌』 實現資料庫安全性保護的常用方法和技術

答：實現資料庫安全性控制的常用方法和技術有：
(
l
）用戶標識和鑒別：該方法由系統提供一定的方式讓用戶標識自己的名字或身份。每次用戶要求進入系統時，由系統進行核對，通過鑒定後才提供系統的使用權。
(
2
）存取控制：通過用戶許可權定義和合法權檢查確保只有合法許可權的用戶訪問資料庫，所有未被授權的人員無法存取數據。例如cz
級中的自主存取控制(
dac
)
,
bl
級中的強制存取控制（mac
）。
(
3
）視圖機制：為不同的用戶定義視圖，通過視圖機制把要保密的數據對無權存取的用戶隱藏起來，從而自動地對數據提供一定程度的安全保護。
(
4
）審計：建立審計日誌，把用戶對資料庫的所有操作自動記錄下來放入審計日誌中，dba
可以利用審計跟蹤的信息，重現導致資料庫現有狀況的一系列事件，找出非法存取數據的人、時間和內容等。
(
5
）數據加密：對存儲和傳輸的數據進行加密處理，從而使得不知道解密演算法的人無法獲知數據的內容。

『玖』 有個軟體，使用ACCESS資料庫，本身沒有設置密碼，我想對資料庫保護起來，應該如何做

access是不用設置密碼的，你要是想保護好一點，那就是把資料庫隱藏的好一點，把地址單放一個文件中，然後進行調用，也可以用js代碼進行跳轉，總之就是把文件隱藏的好一點就可以了。你要是這的想安全一點最好用mysql（我想你用access應該是做網站用吧）要是數據量比較大也比較重要就用sql server。這個都是比較安全的。