ASP.NET软件开发中SQL数据库的访问控制问题浅析

摘要:ASP.
NET的前身ASP技术,是在IIS2.
0上首次推出(WindowsNT3.
51),当时与ADO1.
0一起推出,在IIS3.
0(WindowsNT4.
0)发扬光大,成为服务器端应用程序的热门开发工具.
由于它的简单以及高度客制化的能力,也是它能迅速窜起的原因之一.
ASP.
NET的灵活性、简易性和可管理性很受众多WEB开发人员的欢迎.
随着做ASP.
NET开发的人越来越多,市场对ASP.
NET主机空间的需求也越来越大.
不过ASP的缺点也逐渐的浮现出来:除了其意大利面型的程序开发方法让维护的难度提高很多以外,其性能也受到直译式的VBScript或JScript语言的限制.
在客服这些缺点的过程中,当前此软件开发利用SQL数据库的访问控制也遭遇许多挑战.
关键词:ASP.
NET软件;SQL数据库;访问控制中图分类号:TP311.
52文献标识码:A文章编号:1007-9599(2013)03-0000-02微软发布了InternetExplorerDeveloperToolbar最新版,该产品让开发人员能够深入探索和理解Web页面,帮助开发者更好地创建Web应用.
安装后可以在IE中快速分析网页的软件,该工具条可集成在IE窗口,或以浮动窗口形式存在.
微软ASP.
NET2.
0的目标是提供开发者的效能50%.
然而,实际的效能提升似乎超过了预期.
新的personalization,membership和角色管理特性拿掉了开发者的负担,而其他的特性,像数据绑定,也被简化了.
不仅有大量的另人印象深刻的新特性,还有大量的极具意义的服务器控件.
由于服务器控件像控件对membership的整合和新的datasource和数据控件服务器控件,ASP.
NET编程模型将在ASP.
NET2.
0中变得更加强大.
1ASP.
NET软件开发中SQL数据库的访问控制问题随着网络开发者技术的娴熟以及微软技术的推进,众多数据库厂商推出的新版数据库都增强了安全特性,比如:在权限上进行细分,对传输进行加密,加强访问审计,以及数据备份等等.
虽然人们对于安全越来越重视,但数据库仍然处于一个非常不安全的境地,主要是表现在两方面:1.
1数据泄漏问题.
包括个人用户信息的泄漏,企业商业信息的泄漏.
近两年,CSDN、天涯等网站被入侵,大量个人用户信息遭泄露.
1.
2数据篡改问题.
包括内部人员越权对数据进行篡改以期获取利益,以及外部黑客的恶意攻击.
比如某运营商,曾发生内部人员越权修改数据库中某个客户积分,通过积分兑取数十万礼品.
总体看来,现在数据库风险主要来自四个方面:首先是来自终端的威胁:各类PC终端、移动终端对数据库的访问,都会给数据库带来潜在威胁.
其次是来自网络的威胁:数据库毕竟是一个对外提供服务的平台,数据的存储也是在网络里面进行的,这些来自网络的威胁会给数据库带来安全风险,这一过程中也包括来自网络应用的威胁:数据库的核心价值在于对数据的存储,而数据70%以上的作用是为应用服务,所以来自应用的威胁占数据库威胁很大比例.
最后是来自操作系统的威胁:如果你的操作系统不够安全,存在安全漏洞的话,那么外围的某些"操作人员"就可以利用操作系统漏洞,对数据库进行高危操作.
2ASP.
NET软件开发中SQL数据库的访问控制客户机操作系统的安全性:在使用客户计算机通过网络实现对SQLSEVER服务器的访问时,用户首先要获得客户计算机操作系统的使用权.
SQLSEVER的登录安全性:SQLSEVER服务器的安全,建立在控制服务器登录账号和密码的基础上.
两种登录方式,无论是使用哪种登录方式,通过登录时提供的密码和账号,决定了用户能否获得SQLSEVER访问权,并确定获得访问权限后,用户使用SQLSEVER进程时就可以拥有的权利.
SQLSERVER的认证模式有两种:"Windowsonly认证"模式和"混合模式".
"Windowsonly认证"模式只允许使用"Windows"认证机制.
这时,用户不能指定SQLServer的登录账户.
混合认证模式既允许使用"Windowsonly认证"机制,也允许使用SQLServer认证机制.
当使用该种认证模式时,对于可信连接用户的连接请求,系统将采用WindowsNT/2000认证模式,而对于非可信连接则采用SQLServer认证模式,采用SQLServer认证模式时,系统检查是否已经建立了该用户的登录标识以及口令,通过验证后,才可以连接到SQLServer服务器上.
2.
1SQLServer服务器登录管理.
SQLServer有2个默认的用户登录账号:即sa和administrators、builtin.
登录账户的信息1/2存储在系统表master_syslogins中.
sa是系统管理员的简称,是一个特殊的登录账户,拥有SQLServer系统和全部数据库中的权限.
不管SQLServer实际的数据库所有权如何,sa账户被默认为是任何用户数据库的主人.
所以,sa拥有作高最高的管理权限,可以执行服务器范围内的所有操作.
WindowsNTServer/2000还有一个默认的超级管理员账户BUILTIN、administrators,BUILTIN、administrators账户在SQLServer系统上和全部数据库也有全部的权限.
2.
2服务器账号的添加.
WindowsNT/2000账户由Windows域用户管理创建/修改和删除.
当使用SQLServer的混合验证时,只能使用SQLServer登录标识来管理用户连接.
2.
3服务器角色管理.
服务器角色是指根据SQLServer的管理任务,以及这些任务相对的重要性等级来把具有SQLServer管理职能的用户划分为不同的用户组,每一组所具有的管理权限都是SQLServer内置的,即不能对其进行添加、修改和删除,只能向其中加入用户或者其他角色.
2.
4数据库用户管理.
用户是基于数据库使用的名称,是与登录账户相对应的.
有两个默认的数据库用户账户:dbo和guest,可对数据库添加新用户.
与服务器账户的关系:登录账户为了访问数据库,必须成为数据库用户账户或者一个默认的用户账户,数据库的访问权是通过影射数据库的对象与登录账户之间的关系来实现的.
2.
5数据库角色管理.
数据库角色是为某一用户或某一组用户授予不同级别的管理或访问数据库以及数据库对象的权限,这些权限是数据库专有的,并且还可以使一个用户具有属于同一数据库的多个角色.
SQLServer提供了两种类型的数据库角色:即固定的数据库角色和用户自定义的数据库角色.
2.
6许可(权限)管理.
SQLServer数据库对象包括表、索引、视图、触发器、存储过程等,数据库对象的创建者即成为数据库对象的所有者.
数据库对象创建完后,只有拥有者可以访问该数据库对象.
任何其他用户想访问对象必须获得拥有者的许可.
拥有者可以授予许可给指定的数据库用户,这种许可被称作对象许可.
对于数据库的安全防护首先要对数据库核心部分进行安全加固,比如打好相关补丁、关闭特权账号、修改默认端口等;数据库部署后进行漏洞检查以及配置评估,检测其是否足够安全;然后要对数据库访问进行实时防护,在访问发生后存放审计记录,以备后续追踪溯源.
另外还需要考虑数据库访问的身份认证、数据加密、流量控制、容灾备份以及应用带来的安全问题等.
现在主流的数据库安全类产品包括:数据库扫描、数据库审计、数据库防火墙、数据库加密,以及这几类产品组合而成的数据库安全解决方案.
比较有趣的是,不同行业对于数据库安全的需求呈现明显的行业特色.
数据库审计问题很多行业都非重视,除此之外,电信、金融、能源行业还很重视数据库的评估、灾备.
医疗行业除了数据库审计之外,还有一个很独特的需求——防统方,也就是防止对医药配方进行非法统计.
政府客户对于数据库的加密很重视,企业用户则要求实施严格的访问控制.
3结束语用户对高处理性能的强烈需求推动了数据库行业的创新.
为了进一步提升产品的性能,软件开发者和数据库厂商都推出了各自对于ASP.
NET软件开发中SQL数据库的访问的一些尝试和研究,比如分布式计算、分布式文件系统、内存计算技术等,同时积极采用一些新的硬件,包括大内存、闪存和高速网络连接技术(万兆以太网和InfiniBand).
这些产品的非线性、分布式、横向扩展等技术特点非常适合互联网行业的云计算和大数据处理,但是应用类型相对简单.
行业大数据应用要求数据库具有复杂数据的多表关联分析能力,可以在任何情况下保证数据的一致性,同时还要易于使用.
这种需求直接推动了基于云架构的新型数据库技术的发展.
参考文献:[1]龚雄涛.
ASP.
NET中数据库访问方法探讨[J].
湖北职业技术学院学报,2007(04).
[2]胡君.
基于ADO.
NET的数据库访问技术[J].
科协论坛(下半月),2010(03).
[3]戚敏,林琳.
ADO.
NET数据库访问技术的浅析[J].
昌吉学院学报,2009(01).
[作者简介]陈虹(1980-),女,江苏武进人,工作单位:江苏广播电视大学武进学院,职称讲师,研究方向:计算机科学与应用.
PoweredbyTCPDF(www.
tcpdf.
org)2/2