sql系统安全加固需围绕“谁在访问、能做什么、数据是否可控”构建闭环,落实权限最小化、通信加密化、行为可追溯三大原则,涵盖账户管控、加密防护、网络限制及审计监控等全流程措施。
SQL系统安全加固不是堆砌工具,而是围绕“谁在访问、能做什么、数据是否可控”三个核心问题建立防御闭环。关键不在功能多,而在权限最小化、通信加密化、行为可追溯。
严格管控数据库账户与权限
默认账户(如sa、root)是攻击首选目标,必须重命名或禁用;所有业务账号遵循“最小权限原则”,禁止直接授予db_owner或sysadmin角色。
- 删除或禁用未使用的账户,特别是测试环境遗留账号
- 业务应用使用专用账号,只授权所需表的select/INSERT/UPDATE(避免GRANT ALL)
- 敏感操作(如DROP table、EXEC xp_cmdshell)单独审批,不开放给常规账号
- 定期审计权限分配:SELECT * FROM sys.database_permissions JOIN sys.database_principals ON grantee_principal_id = principal_id
启用传输层与存储层加密
明文传输等于裸奔,尤其跨网段或云环境;静态数据泄露风险高,必须分层防护。
- 强制TLS连接:SQL Server配置“Force Encryption = Yes”,并绑定有效证书;mysql启用require_secure_transport=ON
- 敏感字段加密:用TDE(透明数据加密)保护整个数据库文件;对身份证、手机号等字段,用列级加密(如SQL Server的ENCRYPTBYKEY)或应用层加解密
- 禁用弱协议:关闭sslv2/v3、TLS 1.0/1.1,仅允许TLS 1.2及以上
限制远程访问与网络暴露面
数据库不是Web服务,不该暴露在公网。90%的入侵始于不必要的监听和开放端口。
- 关闭远程TCP/IP协议(SQL Server配置管理器中禁用TCP/IP),仅允许本地或内网IP段连接
- 防火墙策略精确到端口+源IP:只放行应用服务器IP访问1433(SQL Server)或3306(MySQL)
- 云环境启用VPC安全组+数据库白名单双校验,禁用“0.0.0.0/0”通配规则
- 停用SQL Server Browser服务(udp 1434),避免实例名枚举
开启审计与异常行为监控
没有日志的安全等于没安全。重点不是记录一切,而是捕获高危动作和非常规访问模式。
- 启用SQL Server Audit或MySQL Enterprise Audit Plugin,至少记录:登录失败、权限变更、DDL语句(CREATE/DROP/ALTER)、大量delete/UPDATE
- 设置告警阈值:如5分钟内10次登录失败自动锁定账号;非工作时间执行DBCC命令触发通知
- 日志独立存储、不可删改:审计文件写入专用nas或SIEM平台,禁用本地管理员删除权限
- 每月人工抽检:查是否有陌生IP、非运维时段操作、高频查询敏感表等异常线索
基本上就这些。不复杂但容易忽略——比如改了密码却忘了更新应用连接字符串,或者开了TDE但没备份证书导致恢复失败。加固不是一锤子买卖,而是每次上线前检查权限、每次架构调整后重审网络策略、每次补丁更新后验证审计日志是否持续写入。