SQL Server安全性 PDF下载

第1章 SQLServer安全：基础知识
 1.1 SQLServer的历史
 1.2 SQLServer的版本
 1.3 通用数据库安全技术
 1.4 SQLServer的安全漏洞
 1.4.1 病毒解析：Slammer为什么会如此成功
 1.4.2 预防另一个可能的S1amm
 1.5 小结
第2章 围攻SQLServer.攻击过程分析
 2.1 挑选理想的工具
 2.2 数据还是主机
 2.3 无需认证的攻击
 2.3.1 利用缓冲区溢出
 2.3.2 SQL监控器端口攻击
 2.3.3 hello故障
 2.3.4猎取密码
 2.4 需要认证的攻击
 2.4.1 缓冲区溢出
 2.4.2 扩展存储过程
 2.4.3 绕过访问控制机制
 2.5 资源
 2.6 代码列表1
 2.7 代码列表2
 2.8 代码列表3
第3章 SQLSenter的安装技巧
 3.1 规划安装过程
 3.1.1 数据安全
 3.1.2 容错能力
 3.1.3 备份方案
 3.1.4 灾难恢复
 3.2 操作系统的因素
 3.3 运行安装程序
 3.4 锁定服务器
 3.5 核对列表
第4章 网络库和安全连接
 4.1 客户／服务器连接
 4.2 安全套接字层
 4.2.1 SSL基础
 4.2.2 SSL的配置
 4.3 SQLServer网络库
 4.3.1 主网络库
 4.3.2 从网络库
 4.4 配置连接
 4.4.1 服务器网络实用程序
 4.4.2 客户端网络实用程序
 4.5 优秀的经验
 4.5.1 永远不要向互联网暴露您的SQLServer端口
 4.5.2 尽可能使用TCP／IP网络库
 4.5.3 在确实需要时再配置网络库
 4.5.4 使用128位的SSL连接而不要使用40位的SSL连接
 4.5.5 设置一个SSL证书以确保进行安全登录
 4.5.6 对高敏感的数据进行强制加密
 4.5.7 配置TCP／IP的时候请使用隐藏服务器选项
第5章 认证和授权
 5.1 认证(Authentication)
 5.1.1 登录
 5.1.2 数据库用户
 5.1.3 角色
 5.2 授权(AuthOhzatiOn)和许可(Permissions)
 5.2.1 GRANT、REVOKE和DENY
 5.2.2 审核访问(AuditingAccess)
 5.2.3 所有权链(OwnershipChains)
 5.3 SyslOginS、Sysprotects、Syspermissions和其他特殊账户
 5.3.1 SID与SUID
 5.3.2 syslogins和sysxlogins
 5.3.3 SySUSer3
 5.3.4 syspermissions
 5.3.5 sysprotects
 5.4 优秀的经验
 5.4.1 Windows活动目录：集中式管理
 5.4.2 SQLServer集中式角色管理
 5.4.3 挑选适当的方法
第6章 企业中的SQLServer
 6.1 SQLServer的复制
 6.1.1 复制操作概论
 6.1.2 复制时要考虑的安全问题
 6.2 多服务器系统管理
 6.3 活动目录集成
第7章 审核与入侵检测
 7.1 案例分析
 7.1.1 RetailCo数据库的运作规模
 7.1.2 RetailCo的管理结构
 7.1.3 安全策略
 7.1.4 怪异之事和合乎法律程序的检查
 7.1.5 结论
 7.2 SQLServer审核
 7.2.1 启用标准的审核
 7.2.2 C2级审核
 7.2.3 扩展审核功能
 7.2.4 使用内置跟踪函数配置手动审核
 7.3 SQLServer警报
 7.3.1 配置SQLServer警报
 7.3.2 将SQLServer警报用作入侵检测系统
第8章 数据加密技术
 8.1 加密技术概览
 8.2 哈希算法
 8.3 Salt(Salts)
 8.4 密钥管理
 8.5 内置加密函数
 8.6 加密自定义存储过程
 8.7 加密SQLServer表数据
 8.8 SQLServer网络通信的加密
 8.9 中间层加密
 8.10 第三方COM组件
 8.11 加密API
第9章 SQL注入：当防火墙鞭长莫及时
 9.1 SQL注入简述
 9.2 案例研究：在线外贸交易系统
 9.2.1 审核技术
 9.2.2 漏洞识别
 9.2.3 攻击系统
 9.2.4 案例分析
 9.3 高级主题
 9.3.1 利用时间延迟提取有用信息
 9.3.2 系统级攻击
 9.3.3 为什么SQLServer容易受到SQL注入的攻
 9.3.4 攻击方式
 9.4 SQL注入的防护
 9.4.1 输入验证(1nputValidation)
 9.4.2 鉴别不好的设计
 9.4.3 增强设计
 9.5 优秀的经验
 9.5.1 设计
 9.5.2 开发／实现
 9.5.3 QA／测试
 9.5.4 配置
第10章 安全体系结构
 10.1 深度防护
 10.2 安全性需求
 10.2.1 收集需求
 10.2.2 已有的环境
 10.2.3 理解应用程序的安全需求
 10.2.4保护您的应用程序
 10.3 规划
 10.3.1 依托技术做决策
 10.3.2 依托评审过程做决策
 10.3.3 依托代码标准做决策
 10.3.4 防止安全水准的下降
 10.4 开发
 10.4.1 良好的编码习惯
 10.4.2 编写存储过程的一些良好的习惯
 10.4.3 输入验证
 10.4.4 推荐的开发防护措施
 10.4.5 一些不好的编码习惯及其克服方法
 10.5 测试
 10.5.1 测试的手段
 10.5.2 模糊化处理(Fuzzing)
 10.5.3 一些技巧
 10.5.4 深度覆盖
 10.5.5 结果报告
 10.6 配置
 10.6.1 配置的规划
 10.6.2 过程的构造
 10.6.3 问题的解决方法
 10.7 维护
 10.7.1 安全+不安全=不安全
 10.7.2 阅读日志
 10.7.3 注意收集证据
附录A 系统存储过程与扩展存储过程
 A.1 限制存储过程的风险
 A.1.1 将攻击范围压缩到最小
 A.1.2 将访问权限降到最低
 A.1.3 将应用程序运行时的账产权限调整到最小
 A.2 存储过程的攻击策略
 A.2.1 创建特洛伊木马存储过程
 A.2.2 利用社会工程学使用系统存储过程
 A.3 高危险性的系统存储过程和扩展存储过程
 A.3.1 访问注册表的扩展存储过程
 A.3.2 暴露SQLServer开发环境中的存储过程
 A.3.3 OLE自动化扩展存储过程
 A.3.4 访问操作系统的存储过程
 A.3.5 使用电子邮件的存储过程
 A.4 防御策略
 A.4.1 删除不需要的存储过程
 A.4.2 撤销存储过程的公共访问权限
 A.4.3 审核和跟踪对于SQLServer源代码和许可的变更
附录B 影响SQLServer安全的一些其他技术
 B.1 ⅥsualStu出O、MicrosonOmce和COM连通性工具
 B.1.1 Ⅵsual StudiO
 B.1.2 Microson Of6Ce"
 B.1.3 数据访问API
 B.2 SQLServerMail接口
 B.2.1 SQLMall
 B.2.2 SQLAgentMail
 B.3 Internet信息服务集成
 B.4 SQLServer开发员和系统管理员工具
 B.4.1 SQL-DMO
 B.4.2 SQL-NS
 B.4.3 DB-Library APl
 B.4.4 1SQL.exe和OSQLex~工具
 B.4.5 分发组件
 B.4.6 服务器的连接
 B.4.7 数据传输服务DTS
 B.4.8 批复制DTS任务
 B.4.9 扩展存储过程的开发
 B.4.10 列表数据流TDS
附录C 连接字符串
 C.1 连接属性
 C.2 连接字符串示例
 C.3 连接字符串的存放位置
 C.3.1 Web.conflg(ASP.NET)或global.asa(ASP)文件
 C.3.2 注册表
 C.3.3 使用DPAPI加密的文本文件
 C.3.4 UDL文件
 C.3.5 包含文本文件
 C.3.6 COM+目录
附录D 安全核对列表
 D.1 SQLServer版本核对列表
 D.2 Post-Install核对列表
 D.3 维护核对列表