绝对是个高深的问题 sql server?

zzzwww 2003-04-06 08:17:22
我建了几个MS-SQL Server 2000的数据库,用VB应用程序做前端来访问。程序和数据库最终要交给用户的。我发现只要用“企业管理器”都可以直接打开,编辑我的数据库。出于某些保密性的考虑,我不想自己的sql数据库被别人打开看到内容或修改,有何办法实现?
不知各位对类似问题如何处理的,谢谢!很急。
...全文
19 点赞 收藏 18
写回复
18 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
griefforyou 2003-04-07
帮帮忙呀,急。。。。

http://expert.csdn.net/Expert/topic/1612/1612505.xml?temp=.6713831

关于ASP与VB操作Sybase Adaptive Server Anywhere数据库的问题
回复
chenyu5188 2003-04-07
学习UP
回复
OYHL 2003-04-07
"加密文件的拥有者才能象使用一般文档一样打开文件,任何非授权者都无法使用。"
如果这个“加密文件的拥有者”账号密码被偷??????怎么办?
回复
zsgzsgzsg 2003-04-07
上帖 to OYHL(東東)
回复
zsgzsgzsg 2003-04-07
人家把你家门的钥匙都偷走了,自然就能拿走你家的东东了。
考虑安全性问题,主要是为了防止利用合法的手段窃取不该得到的资料。
回复
zsgzsgzsg 2003-04-06
按理说软件公司不应该为客户考虑安全性问题,因为一般软件费中都未包括这一部分。
但现实是客户的系统管理员大都是业余水平,甚至有的根本没有,而软件操作员有的可能水平比较高,这样,就为软件的运行埋下了许多不稳定的因素。当软件出现不正常,客户往往归罪于软件公司,造成售后服务增加,甚至影响经济效益。
所以,可以为客户考虑安全性问题,但安全性的实现应该与软件无关,不应由软件完成。
至少可以为客户提供一个方案。
回复
pengdali 2003-04-06
楼上说的不错,但你认为软件公司,需要为客户考虑吗?用什么系统什么加密是客户的事,还是那句话客户是买你的软件不是买你的mssql更不是买你的win2k
回复
zsgzsgzsg 2003-04-06
请参考:

Windows 2000提供了加密文件系统EFS,它保护基于NTFS存储在磁盘上的敏感数据,它使用对称密钥和公开密钥提供用户对文件的信任机制。它作为整体系统在服务器运行,容易管理、难以攻击。只有加密文件的拥有者才能象使用一般文档一样打开文件,任何非授权者都无法使用。对加密文件的所有读写行为,不管是加密还是解密,都是透明操作的。因此文件在使用前不必解密。当加密文件的密钥丢失时,Windows 2000提供了恢复代理操作,帮助解密文件。

SQL Server 2000 可以使用 EFS。数据库文件可以加密,防止其它用户移动、复制或查看数据库内容。加密是在操作系统一级完成的,而不是逻辑数据库级别。当 SQL Server 打开加密文件时,文件内的数据按解密后的形式显示。

“加密文件系统”(EFS) 提供一种核心文件加密技术,该技术用于在 NTFS文件系统卷上存储已加密文件。一旦加密了文件或文件夹,你就可以象使用其他文件和文件夹一样使用它们。对加密该文件的用户,加密是透明的。这表明不必在使用前解密已加密的文件。你可以象平时那样打开和更改文件。但是,试图访问已加密文件或文件夹的入侵者将被禁止这些操作。如果入侵者试图打开、复制、移动或重新命名已加密文件或文件夹,将收到拒绝访问的消息。

  正如设置其他任何属性(如只读、压缩或隐藏)一样,通过为文件夹和文件设置加密属性,可以对文件夹或文件进行加密和解密。如果加密一个文件夹,则在加密文件夹中创建的所有文件和子文件夹都自动加密。推荐在文件夹级别上加密。

  也可以用命令行功能 cipher 加密或解密文件或文件夹。有关 cipher 命令的详细信息,请参看本文附录。

  使用 EFS 可以防止在未经授权的情况下获取对物理存储的敏感数据(例如,窃取便携式计算机或 Zip 磁盘)的访问的入侵者,以确保文档安全。

文件加密系统简介

  文件加密系统 (EFS) 可以使用户对文件进行加密和解密。使用 EFS 可以保证文件的安全,以防那些未经许可的入侵者访问存储的敏感数据(例如,通过盗窃笔记本电脑或外挂式硬盘驱动器来偷取数据)。

  用户可以象使用普通文件和文件夹那样使用已加密的文件和文件夹。加密过程是透明的。EFS 用户如果是加密者本人,系统会在用户访问这些文件和文件夹时将其自动解密,但是不允许入侵者访问任何已加密的文件或文件夹。
使用加密文件

  在使用加密文件和文件夹时,请记住下列信息和建议。

  重要的 EFS 信息

只有 NTFS 卷上的文件和文件夹才能被加密。
不能加密压缩文件或文件夹。首先必须对文件和文件夹解压缩,然后才能加密。在已压缩的卷上,解压缩所要加密的文件夹。
只有对文件实施加密的用户才能打开它。
不能共享加密文件。EFS 不能用于发布私人数据。
如果将加密的文件复制或移动到非 NTFS 格式的卷上,该文件将会被解密。
使用剪切和粘贴将文件移动到已加密的文件夹。如果使用拖放式操作来移动文件,则不会将它们在新文件夹中自动加密。
无法加密系统文件。
加密的文件夹或文件不能防止被删除。任何拥有删除权限的人均可以删除加密的文件夹或文件。
对于编辑文档时某些程序创建的临时文件,只要这些文件在 NTFS 卷上而且放在已加密文件夹中,则它们也会被加密。为此建议加密硬盘上的 Temp 文件夹。加密 Temp 文件夹可以确保在编辑过程中的文档也处于保密状态。如果在 Outlook 中创建一个新文档或打开附件,该文件将在 Temp 文件夹中创建为加密文档。如果选择将加密的文档保存到 NTFS 卷的其他位置,则它在新位置仍被加密。
在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。详细信息,请与域管理员联系。然而,如果通过网络打开已加密文件,通过此过程在网络上传输的数据并未加密。其他协议,例如 SSL/PCT 或者 IPSEC 必须用于通过线路加密数据。
恢复策略是当你对第一个文件或文件夹进行加密时自动执行的,以便如果你丢失了文件加密证书和相关的私钥,恢复代理可以给你解密文件。
  EFS 推荐

如果你将大多数文档保存在“我的文档”文件夹中,则将对该文件夹加密。这将确保在默认情况下加密个人文档。
加密 Temp 文件夹,使程序创建的所有临时文件自动加密。
加密文件夹而不是加密单独的文件,以便如果程序在编辑期间创建了临时文件,这些临时文件也会加密。

从 Microsoft 管理控制台 (MMC) 的“证书”,使用“导出”命令,可以在软盘上制作文件加密证书和相关私钥的备份副本。将软盘保留在安全位置。那么,如果你丢失了文件加密证书(由于磁盘故障或任何其他原因),则可以从 MMC 的证书中使用“导入”命令从软盘还原证书和相关的私钥,并可以打开加密的文件。
数据加密和解密

  文件加密系统 (EFS) 可以使用户在本地计算机上安全地存储数据。EFS 通过在选定的 NTFS 文件和文件夹中加密数据来达到这一目的。

  由于 EFS 与文件系统集成在一起,所以它易于管理、难以被攻击而且对用户完全透明。这是一种保护易于盗窃的计算机(便携机)上的数据的典型方法。

  FAT 卷中的文件和文件夹不能被加密和解密。而且,EFS 一般用于在本地计算机上安全地存储数据。例如,它不支持加密文件的共享。

  EFS 加密密钥

  如果用户对指定的文件进行加密,那么对用户来讲实际的数据加密和解密过程是完全透明的。用户不需要了解这个过程。但对管理员来说,以下关于数据如何被加密和解密的说明是十分有用的。

  以下说明只适用于文件,而不适用于文件夹。文件夹本身不会被加密,而是文件夹中所包含文件的内容被加密。和文件夹一样,子文件夹不能被加密,但是它们都带有明显标识指出其中包含加密的文件数据。

  文件的加密过程如下:

  每个文件都有一个唯一的文件加密密钥,用于以后对文件数据进行解密。

  文件的加密密钥在文件之中加密的--通过与用户的 EFS 证书对应的公钥进行保护。

  文件加密密钥同时受到授权恢复代理的公钥的保护。

  文件的解密过程如下:

  要解密一个文件,首先要对文件加密密钥进行解密。当用户的私钥与这个公钥匹配时,文件加密密钥就被解密。

  用户并不是唯一能对文件加密密钥进行解密的人。恢复代理的私钥同样可以对文件加密密钥进行解密。

  当文件加密密钥被解密后,可以被用户或恢复代理用于文件数据的解密。

  私钥保存在受保护的密钥存储区,而不是在安全帐户管理器 (SAM) 或单独的目录中。
  在远程服务器上存储加密文件

  如 Windows 2000 计算机环境中的用户想在远程服务器上存储加密文件,请注意以下信息:

  Windows 2000 支持在远程服务器上存储加密文件。然而,这一功能并不支持多个用户对加密文件的远程共享。

  用户永远不能在物理存放位置的安全性不好的服务器上存储高敏感度的数据。

  加密的数据在网络上传输时是不加密的,只有当它存储在磁盘上时才是加密的。当系统包括网际协议的安全机制 (IPSec) 时例外。IPSec 对传输在 TCP/IP 网络上的数据进行加密。

  加密的文件不能从 Macintosh 客户端访问。

  用户可以对远程服务器上的文件加密之前,管理员必须指定远程服务器为信任委派。允许在该服务器上拥有这些文件的所有用户对文件进行加密。



加密文件系统和数据恢复

  作为系统的整个安全策略的一部分,'加密文件系统'(EFS) 的数据故障恢复是可用的。例如,如果你丢失了文件加密证书和相关的私钥(由于磁盘错误或是其他原因),还是可以通过指定的故障恢复代理来恢复数据。或者,在商业环境中,单位能够在雇员离开后恢复雇员加密的数据。

  恢复策略

  EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供人员,作为被指派的故障恢复代理。当管理员第一次登录到系统上时,默认的故障恢复策略将会自动地添加进去,以便为管理员提供故障恢复代理。

  故障恢复代理拥有特殊证书和相关私钥,该私钥允许在故障恢复策略的影响范围内恢复数据。如果是故障恢复代理,请务必在 Microsoft 管理控制台 (MMC) 的证书中使用“导出”命令,将故障恢复证书和相关私钥备份到安全位置。在备份之后,应使用 MMC 中的“证书”管理单元从恢复代理的个人存储区(而不是从恢复策略)删除恢复证书。然后,当需要为用户执行故障恢复操作时,应该首先从 MMC 的“证书”管理单元中使用“导入”命令将故障恢复证书和相关的私钥还原到故障恢复代理的个人存储区。在数据恢复之后,应从恢复代理的个人存储区中再次删除恢复证书。不必重复导出过程。从计算机中删除故障恢复证书并将其保存在安全位置是用于保护敏感数据的附加安全措施。
  默认故障恢复策略在本地配置为用于单机。对于网络中的计算机,可以在域、部门或单个计算机一级配置故障恢复策略,并在所定义的影响范围内,将其应用于所有基于 Windows 2000 的计算机。恢复证书由证书颁发机构 (CA) 发布,并使用 MMC 中的证书来管理。

  在网络环境中,对于故障恢复策略影响范围中的所有计算机用户,域管理员控制如何执行 EFS。在默认的 Windows 2000 安装中,当安装第一个域控制器时,域管理员是指定的域故障恢复代理。域管理员配置故障恢复策略的方法将决定如何为本地机器上的用户执行 EFS。域管理员登录到第一域控制器以更改域的故障恢复策略。下表解释几种故障恢复策略配置对用户的影响。

空的故障恢复策略 无法使用 EFS 没有故障恢复代理 删除每个故障恢复代理
域等级中没有故障恢复策略 可以在本地使用 EFS 默认的故障恢复代理是本地计算机的管理员 在第一个域控制器上删除故障恢复策略
故障恢复策略以指定的故障恢复代理来配置。 可以在本地使用 EFS 默认的故障恢复代理是域管理员 网络环境的默认配置

  因为 Windows 2000 安全子系统处理故障恢复策略
回复
pengdali 2003-04-06
这个是客户考虑的问题,如果客户连这个制度都没有,那你在做都是多的,你的客户只有DBA有sa密码,你的软件考虑用户接口,就是也必须可以动态配置数据库信息,因为用户的机器名,ip,密码这些你都是未知的,且是会变的,不变的是你的数据库和你的数据。你交接你的软件的时候只要把用户接口交接清楚就行了。用户一定会让专人保存他的数据库密码,而不会把它贴在大门口。
回复
zzzwww 2003-04-06
pengdali(大力) 说得我很受启发。我也一直为此左右为难。
但这个问题同时还有一个考虑,就是有可能客户自己都不愿意让数据库被轻意打开、修改(比如保存了些的重要的金额、密码数据等),若这个数据能被人轻意看到岂不是会产生很多问题吗?
回复
pengdali 2003-04-06
搞不懂你们怎么想的,你的客户有DBA怎么办?你的软件不能看数据库,人家敢买吗?难道你也要和你的软件一起,卖给你的客户吗?你去帮你的客户维护数据库吗?企业管理器都是多余的吗?那你用Access算了!连微软都要开放源代码,你怕什么?客户是买你的软件,又不是买你的mssql,客户自己没有吗?客户买你的软件,是应为要使用你的软件达到他的需求,又不是为了破坏的软件而买你的数据库而买你的软件。
回复
zzzwww 2003-04-06
msde只是没有“企业管理器”这样的环境而已。如果别人将数据库文件弄走,在他的企业管理器中恢复,我认为肯定能打开。
如果是这样的话,那sql数据库的安全性岂不是存在很大的问题?
回复
pengdali 2003-04-06
msde就打不开吗?
回复
zsgzsgzsg 2003-04-06
如果别人将数据文件拷贝走,用“企业管理器”能不能打开?
回复
zzzwww 2003-04-06
如果用户自己安装有sql server 服务器,将我的数据库 restore 到他的服务器上,好象也能打开吧?
回复
OYHL 2003-04-06
比较专业的方法就是安装msde,这个绝对正确,如果访问数据库只能用应用程序,
回复
qiqif 2003-04-06
连接数据库时要用户和密码的啊
你只要不告诉用户密码就可以了
回复
OYHL 2003-04-06
问题很简单,安装msde,,安装后就可以了,如果不清楚自己看看msde的资料吧,,用这个没有问题~!!!
回复
相关推荐
发帖

1187

社区成员

VB 数据库(包含打印,安装,报表)
申请成为版主
帖子事件
创建了帖子
2003-04-06 08:17
社区公告
暂无公告