Презентация Сравнительный анализ моделей безопасности в SQL Server 2000 и SQL Server 2005 онлайн
На нашем сайте вы можете скачать и просмотреть онлайн доклад-презентацию на тему Сравнительный анализ моделей безопасности в SQL Server 2000 и SQL Server 2005 абсолютно бесплатно. Урок-презентация на эту тему содержит всего 55 слайдов. Все материалы созданы в программе PowerPoint и имеют формат ppt или же pptx. Материалы и темы для презентаций взяты из открытых источников и загружены их авторами, за качество и достоверность информации в них администрация сайта не отвечает, все права принадлежат их создателям. Если вы нашли то, что искали, отблагодарите авторов - поделитесь ссылкой в социальных сетях, а наш сайт добавьте в закладки.
Презентации » Образование » Сравнительный анализ моделей безопасности в SQL Server 2000 и SQL Server 2005
Оцените!
Оцените презентацию от 1 до 5 баллов!
- Тип файла:ppt / pptx (powerpoint)
- Всего слайдов:55 слайдов
- Для класса:1,2,3,4,5,6,7,8,9,10,11
- Размер файла:1.65 MB
- Просмотров:57
- Скачиваний:0
- Автор:неизвестен
Слайды и текст к этой презентации:
№2 слайд
![Компоненты SQL Server](/documents_5/04f786c56bb111391f21a6bf533d5af3/img1.jpg)
Содержание слайда: Компоненты SQL Server
Реляционный сервер
Внутризапросный параллелизм
Распределенные фрагментированные представления
Службы тиражирования
Средства создания резервных копий БД
Механизмы отказоустойчивости (Log Shipping, MSCS)
Графические средства администрирования и отладки
Утилиты настройки и оптимизации
Службы репликации
Службы формирования отчетов (Reporting Services)
Cлужбы оповещения (Notification Services)
Службы анализа данных (OLAP, DataMining)
Инструменты управления (Management tools)
Программные интерфейсы доступа и разработки
ODBC, OLE DB, ADO, OLE DB for OLAP, ADO MD, ADOX, интерфейсы дистрибутора и согласования, SQL DMO, DSO, …
№3 слайд
![По своей природе](/documents_5/04f786c56bb111391f21a6bf533d5af3/img2.jpg)
Содержание слайда: По своей природе веб-приложения электронной коммерции чувствительны к защите информации. Это послужило причиной внесения в сервер SQL Server 2000 новых значительных улучшений системы безопасности, не только обеспечивающих наиболее высокий в отрасли уровень безопасности, но также упрощающих применение средств, необходимых для достижения этого уровня. Прежде всего, SQL Server 2000 устанавливается по умолчанию с более высоким уровнем безопасности, при этом используются средства, встроенные в новейшую интегрированную систему безопасности операционной системы Windows 2000. Это упрощает и ускоряет изоляцию сервера в производственной среде.
По своей природе веб-приложения электронной коммерции чувствительны к защите информации. Это послужило причиной внесения в сервер SQL Server 2000 новых значительных улучшений системы безопасности, не только обеспечивающих наиболее высокий в отрасли уровень безопасности, но также упрощающих применение средств, необходимых для достижения этого уровня. Прежде всего, SQL Server 2000 устанавливается по умолчанию с более высоким уровнем безопасности, при этом используются средства, встроенные в новейшую интегрированную систему безопасности операционной системы Windows 2000. Это упрощает и ускоряет изоляцию сервера в производственной среде.
SQL Server 2000 также включает в себя набор новых средств обеспечения безопасности: мощную и гибкую систему безопасности сервера на ролевой основе, профили БД и приложений, интегрированные средства аудита безопасности (отслеживающие 18 различных видов событий и дополнительные события), поддержку шифрования файлов и сетевых сообщений (включая SSL), а также поддержку протокола Kerberos и возможность делегирования полномочий. SQL Server 2000 прошел проверку в рамках программы правительства США Trusted Product Evaluation Program и Агентство национальной безопасности подтвердило его соответствие уровню безопасности C2
№5 слайд
![Безопасность SQL Profiler -](/documents_5/04f786c56bb111391f21a6bf533d5af3/img4.jpg)
Содержание слайда: Безопасность
SQL Profiler - мониторинг событий класса безопасности
Add/drop SQL login, Add/remove database user, Add/remove database role member, Password change, GRD - statement perms, GRD – object perms, ...
Для каждого записывается время, пользователь, хост, успех/неудача и т.д.
Шифрация трафика для всех сетевых библиотек при помощи SSL / TLS
Поддержка делегирования на основе Kerberos, интеграция с Active Directory
№8 слайд
![Расширенный список](/documents_5/04f786c56bb111391f21a6bf533d5af3/img7.jpg)
Содержание слайда: Расширенный список параллельных операций
Операция создания индекса выполняется одновременно на нескольких потоках
Линейная масштабируемость в зависимости от числа процессоров
Каждый поток получает свой диапазон значений
На основе известной статистики распределения индексных ключей поддерживается баланс нагрузки между потоками
На заключительном этапе поддеревья объединяются в единый индекс
№9 слайд
![Индексированные представления](/documents_5/04f786c56bb111391f21a6bf533d5af3/img8.jpg)
Содержание слайда: Индексированные представления
Обычное представление – всего лишь удобная форма записи сложного оператора SELECT
Чтобы обращаться к нему как к якобы таблице
Хранится только определение SQL-запроса, который выполняется всякий раз при обращении к представлению
Как только над представлением создается индекс, его результаты «материализуются»
И обновляются при модификации данных в исходных таблицах
Т.е. ведут себя как все приличные индексы
Представление может содержать агрегаты, операторы связывания таблиц или их комбинацию
Первый индекс над представлением должен быть
Кластерным -> для сохранения представления как таблицы
Уникальным -> для поддержки индекса актуальным при внесении изменений в таблицы
№11 слайд
![Содержание Обзор модели](/documents_5/04f786c56bb111391f21a6bf533d5af3/img10.jpg)
Содержание слайда: Содержание
Обзор модели безопасности SQL Server 2000
Ограничения модели безопасности и способы их устранения
Рекомендации по настройке
Что нового в SQL Server 2005?
Новая модель разрешений
Безопасность метаданных
Более гранулярные разрешения
Покрывающие разрешения
Разделение схемы и владельца
Контекст выполнения хранимого кода
№14 слайд
![Режимы доступа к SQL Server](/documents_5/04f786c56bb111391f21a6bf533d5af3/img13.jpg)
Содержание слайда: Режимы доступа к SQL Server
Windows® Authentication
Доступ разрешен только с использованием бюджета Windows NT®/ Windows 2000/2003
Обеспечивает единую регистрацию
Mixed security
Принимает доступ под бюджетом Windows
Принимает доступ через авторизацию на SQL Server
Сложнее поддается защите
№15 слайд
![Учётная запись и Пользователь](/documents_5/04f786c56bb111391f21a6bf533d5af3/img14.jpg)
Содержание слайда: Учётная запись и Пользователь
Учётная запись (login) дает право на подключение
Хранится в БД master
Относится к серверу в целом
Сама по себе не дает прав
Исключение: Членство в фиксированной серверной роли
Пользователь (user) БД ассоциируется с правами
С ним ассоциируется схема (коллекция объектов БД)
Права назначаются пользователям БД
Действует в рамках конкретной БД
№18 слайд
![Содержание Обзор модели](/documents_5/04f786c56bb111391f21a6bf533d5af3/img17.jpg)
Содержание слайда: Содержание
Обзор модели безопасности SQL Server 2000
Ограничения модели безопасности и способы их устранения
Рекомендации по настройке
Что нового в SQL Server 2005?
Новая модель разрешений
Безопасность метаданных
Более гранулярные разрешения
Покрывающие разрешения
Разделение схемы и владельца
Контекст выполнения хранимого кода
№19 слайд
![Ограничения модели](/documents_5/04f786c56bb111391f21a6bf533d5af3/img18.jpg)
Содержание слайда: Ограничения модели безопасности
SQL Server 2000 и способы их устранения
1. Неограничен доступ к метаданным для любого пользователя БД. Решение: разрабатывать приложение так, чтобы доступ к хранимому коду на стороне SQL Server не позволил злоумышленнику нанести существенный ущерб
2. Невозможно назначить пользователю БД разрешения на выполнение определённых команд без повышения уровня его привилегий. Решение: в SQL2k решение отсутствует
3. По умолчанию непривилегированный пользователь может выполнить ряд расширенных хранимых процедур, предоставляющих доступ к важной информации. Решение: отозвать разрешения на выполнение ряда хранимых процедур для встроенной группы public
4. Отсутствуют встроенные средства шифрования данных. Решение: использовать средства сторонних производителей
5. Нет возможности ограничить количество попыток соединения с сервером при указании неверной пары учётная запись/пароль для учётных записей SQL Server. Решение: использовать для соединения с сервером только учётные записи Windows, либо использовать средства сторонних производителей
№21 слайд
![Содержание Обзор модели](/documents_5/04f786c56bb111391f21a6bf533d5af3/img20.jpg)
Содержание слайда: Содержание
Обзор модели безопасности SQL Server 2000
Ограничения модели безопасности и способы их устранения
Рекомендации по настройке
Что нового в SQL Server 2005?
Новая модель разрешений
Безопасность метаданных
Более гранулярные разрешения
Покрывающие разрешения
Разделение схемы и владельца
Контекст выполнения хранимого кода
№22 слайд
![Рекомендации по настройке](/documents_5/04f786c56bb111391f21a6bf533d5af3/img21.jpg)
Содержание слайда: Рекомендации по настройке
Установить самые свежие пакеты обновлений и исправлений
Отключить ненужные сетевые протоколы
Включить протоколирование (аудит) неудачных попыток подключения
Разместить файлы данных на файловой системе NTFS и настроить доступ к ним
Использовать только аутентификацию Windows
Указать сложные пароли для учётных записей SQL Server
Использовать непривилегированные (не административные, как минимум) учётные записи для запуска службы mssqlserver и службы SQL Server Agent.
Подробнее в разделе “SQLSecurity Checklist” на сайте www.sqlsecurity.com
№24 слайд
![Содержание Обзор модели](/documents_5/04f786c56bb111391f21a6bf533d5af3/img23.jpg)
Содержание слайда: Содержание
Обзор модели безопасности SQL Server 2000
Ограничения модели безопасности и способы их устранения
Рекомендации по настройке
Что нового в SQL Server 2005?
Новая модель разрешений
Безопасность метаданных
Более гранулярные разрешения
Покрывающие разрешения
Разделение схемы и владельца
Контекст выполнения хранимого кода
№26 слайд
![Что нового в модели](/documents_5/04f786c56bb111391f21a6bf533d5af3/img25.jpg)
Содержание слайда: Что нового в модели безопасности SQL Server 2005
Более жесткие настройки по умолчанию
Сокрытие метаданных
Парольная политика
Новые разрешения и уровни разрешений
Разделение схемы и владельца
Контекст выполнения хранимого кода
Безопасность .NET кода
Встроенное шифрование данных
Триггеры на DDL
№27 слайд
![Настройки по умолчанию](/documents_5/04f786c56bb111391f21a6bf533d5af3/img26.jpg)
Содержание слайда: Настройки по умолчанию
Требуется явное включение дополнительной функциональности
Microsoft .NET Framework
SQL Service Broker Network Connectivity
Analysis Services http connectivity
Следующие службы находятся в режиме запуска Manual
SQL Server Agent
full-text search
Новый сервис Data Transformation Services
При установке требуется задание пароля учётной записи sa
даже если сервер будет применять исключительно режим
аутентификации Windows
№28 слайд
![Сокрытие метаданных Системные](/documents_5/04f786c56bb111391f21a6bf533d5af3/img27.jpg)
Содержание слайда: Сокрытие метаданных
Системные объекты теперь находятся в скрытой базе mssqlsystemresource
Catalog Views – замена и расширение системных таблиц, данные из Catalog Views фильтруются в зависимости от того, кто делает запрос
Разрешение VIEW DEFINITION позволяет обойти сокрытие метаданных и его можно выдать на трех уровнях: базы, схемы, объекта
Шифрование хранимого кода стало надёжным
№29 слайд
![Парольная политика Для](/documents_5/04f786c56bb111391f21a6bf533d5af3/img28.jpg)
Содержание слайда: Парольная политика
Для учётной записи SQL Server можно указать следующие параметры команды CREATE/ALTER LOGIN:
Необходимость сменить пароль при первом соединении с сервером (MUST_CHANGE)
Необходимость проверки срока действия пароля (CHECK_EXPIRATION)
Необходимость применения локальной парольной политики Windows (CHECK_POLICY)
CHECK_EXPIRATION и CHECK_POLICY работают полноценно на Windows 2003 Server и более новых системах, а на Windows 2000 это сводится к проверке жестко зашитых правил
№32 слайд
![Содержание Обзор модели](/documents_5/04f786c56bb111391f21a6bf533d5af3/img31.jpg)
Содержание слайда: Содержание
Обзор модели безопасности SQL Server 2000
Ограничения модели безопасности и способы их устранения
Рекомендации по настройке
Что нового в SQL Server 2005?
Новая модель разрешений
Безопасность метаданных
Более гранулярные разрешения
Покрывающие разрешения
Разделение схемы и владельца
Контекст выполнения хранимого кода
№35 слайд
![Разделение схемы и владельца](/documents_5/04f786c56bb111391f21a6bf533d5af3/img34.jpg)
Содержание слайда: Разделение схемы и владельца
База данных может содержать множество схем
Каждая схема имеет только одного владельца – пользователя или роль
Каждый пользователь имеет схему по умолчанию
Большинство объектов БД находятся в схемах
Создание объекта внутри схемы требует полномочий CREATE и полномочий ALTER или CONTROL на эту схему
Цепочка владения по-прежнему основана на владельцах, а не на схемах
№38 слайд
![Разделение схемы и владельца](/documents_5/04f786c56bb111391f21a6bf533d5af3/img37.jpg)
Содержание слайда: Разделение схемы и владельца
Разделение владельцев (principals) и схем
Владелец (Principal)
Сущность от которой защищают объекты
Доступны через представление sys.database_principals
Схема (Schema)
Контейнер объектов; 3-я часть полного наименования
Доступны через представление sys.schemas
Понятие схемы по умолчанию
Присуще пользователю или роли приложения
Используется при разрешении имен; механизм для поиска объектов
Содержится в представлении sys.database_principals
Удаление пользователя не требует изменения кода приложения
№40 слайд
![Схема по умолчанию](/documents_5/04f786c56bb111391f21a6bf533d5af3/img39.jpg)
Содержание слайда: Схема по умолчанию
Используется для разрешения имен
Не всем пользователям нужно управлять схемами
Один и тот же процесс разрешения имён для нескольких пользователей
Схема dbo может является не обязательно единственной общей схемой в плане разрешения имен
Зачем это нужно?
для того, чтобы объект мог быть доступен из любого контекста, его не обязательно создавать в схеме dbo
Разрешение создания объектов в схеме dbo может привести к некоторому риску безопасности при использовании цепочек владения
№41 слайд
![Содержание Обзор модели](/documents_5/04f786c56bb111391f21a6bf533d5af3/img40.jpg)
Содержание слайда: Содержание
Обзор модели безопасности SQL Server 2000
Ограничения модели безопасности и способы их устранения
Рекомендации по настройке
Что нового в SQL Server 2005?
Новая модель разрешений
Безопасность метаданных
Более гранулярные разрешения
Покрывающие разрешения
Разделение схемы и владельца
Контекст выполнения хранимого кода
№43 слайд
![Контекст выполнения хранимого](/documents_5/04f786c56bb111391f21a6bf533d5af3/img42.jpg)
Содержание слайда: Контекст выполнения хранимого кода
Возможность указывать контекст выполнения
процедуры, функции, триггеры
Цепочка владения теперь не является единственным механизмом упрощающим назначение прав
Правила цепочек владения по-прежнему применимы
Разрешения проверяются для тек.контекста
В отличие от цепочек владения применимо и к командам DDL
Применимо и к динамическому SQL
№44 слайд
![Контекст выполнения хранимого](/documents_5/04f786c56bb111391f21a6bf533d5af3/img43.jpg)
Содержание слайда: Контекст выполнения хранимого кода
Для хранимых процедур и определяемых пользователем функций (кроме inline table-valued) предусмотрено четыре выражения для указания контекста выполнения, т.е. пользователя, который будет использоваться при проверке разрешений на объекты, на которые ссылается процедура или функция.
CALLER – выполнять под вызвавшим пользователем
SELF – под создавшим процедуру
USER = username - под указанным пользователем
OWNER – под текущим владельцем процедуры
№45 слайд
![Контекст выполнения хранимого](/documents_5/04f786c56bb111391f21a6bf533d5af3/img44.jpg)
Содержание слайда: Контекст выполнения хранимого кода
По умолчанию – EXECUTE AS CALLER. Для указания имени пользователя username (отличного от своего) необходимо выполнение одного из условий:
Входить в фиксированную серверную роль sysadmin
Входить в фиксированную роль базы данных db_owner
Обладать разрешением на имперсонализацию учетной записи, соответствующей пользователю username.
Можно использовать EXECUTE AS USER = username в качестве “обертки” команд, разрешения на которые нельзя передавать. Например так можно делегировать TRUNCATE.
№46 слайд
![Создание набора разрешений с](/documents_5/04f786c56bb111391f21a6bf533d5af3/img45.jpg)
Содержание слайда: Создание набора разрешений с помощью EXECUTE AS
Сценарий:
Database Admin хочет дать возможность делать усечение (truncate) ряда таблиц каждую ночь.
Проблема:
Truncate непередаваемое разрешение
Минимальное покрывающее разрешение - ALTER, но оно дает больше прав чем нужно
Решение: нам поможет EXECUTE AS!
Создать процедуру, которая усекает нужные таблицы
Указать в строке execute as пользователя с правами ALTER
Дать разрешение на выполнение процедуры нужному пользователю
Результат:
Мы только что сделали Truncate назначаемым разрешением!
№47 слайд
![Безопасность .NET кода Для](/documents_5/04f786c56bb111391f21a6bf533d5af3/img46.jpg)
Содержание слайда: Безопасность .NET кода
Для .NET сборок предусмотрено указание одного из трех уровней безопасности при загрузке в SQL Server командой CREATE ASSEMBLY:
SAFE - доступ ко внешним ресурсам не допускается
EXTERNAL_ACCESS – допускается доступ к файлам, сетевым ресурсам, реестру, переменным окружения
UNSAFE - доступ ко всем ресурсам, в том числе к неуправляемому коду
Если сборка в процессе работы выйдет за указанные при ее загрузке пределы, то CLR сгенерирует исключение и выполнение прекратится.
№51 слайд
![Конечные точки Endpoints](/documents_5/04f786c56bb111391f21a6bf533d5af3/img50.jpg)
Содержание слайда: Конечные точки (Endpoints)
Абстракция номера порта, транспортного протокола и принципала
Как происходит соединение:
Клиент указывает номер порта
Сервер вычисляет Endpoint, который соответствует указанному порту
Сервер проверят, что этот Endpoint правильно сконфигурирован
Сервер проверят, что указанные принципал имеет разрешение на соединение с данным Endpoint
№52 слайд
![Человеку свойственно](/documents_5/04f786c56bb111391f21a6bf533d5af3/img51.jpg)
Содержание слайда: Человеку свойственно ошибаться
SQL Injection
Как избежать:
Отказаться от динамических запросов в пользу хранимых процедур или параметризованных запросов.
Использовать регулярные выражения для проверки пользовательского ввода до того, как он будет отправлен в СУБД.
Использовать функции для экранирования специальных символов
Проверка пользовательского ввода
Соответствие типов
Никогда не строить T-SQL команды непосредственно из введенных пользователем данных
Использовать процедуры для проверки ввода либо вынести проверку на уровень приложения
Никогда не принимать строки, участвующие в создании имени файла и содержащие: AUX, CLOCK$, COM1, .., COM8, CON, CONFIG$, LPT1, .., LPT8, NUL и PRN
№54 слайд
![Официальная страница о SQL](/documents_5/04f786c56bb111391f21a6bf533d5af3/img53.jpg)
Содержание слайда: Официальная страница о SQL Server 2005
Официальная страница о SQL Server 2005
http://www.microsoft.com/sql/2005
Один из самых интересных сайтов, посвященных безопасности SQL Server
http://www.sqlsecurity.com
Российское сообщество по SQL Server
http://www.sql.ru
Каждый месяц в Microsoft Russia проводится семинар, посвященный SQL Server (уже 18 - в Москве, 4 – в Питере, до 70 участников)
Скачать все slide презентации Сравнительный анализ моделей безопасности в SQL Server 2000 и SQL Server 2005 одним архивом:
Похожие презентации
-
Примеры моделей хранения и организации доступа к БД (dBase, MS SQL Server, Oracle)
-
XML в MS SQL Server 2000 и технологиях доступа к данным
-
Тема: «Сравнительный анализ чувства страха младших школьников» Выполнила: Новикова Ксения ученица 8 класса МОУ ООШ 1 г. Якутска
-
Концепции обеспечения безопасности в Microsoft Windows 2000
-
Россия: сравнительный анализ становления рыночных отношений в 20-е и 90-е годы ХХ века Подготовила Шилина Раиса ученица 11 клас
-
Сравнительный анализ стран с переходной экономикой : человеческий капитал,социальная сфера,занятость Авторы: Варакса Анна Доно
-
Краткий сравнительный анализ современных образовательных технологий Учитель биологии МБОУ СОШ 3 г Чехов Петухова Г. А. 9 апре
-
Научно-методические особенности программы Intel «Обучение для будущего», анализ и перспективы ее проведения в 2005 году
-
"Сравнительно-исторический анализ, как метод искусствоведческого анализа на основе сравнения крестово-купольных х
-
«Сравнительный анализ бюджетных систем России и стран ЕврАзЭС» (на примере Российской Федерации, Республики