【IT168专稿】SQL Server 2008作为微软新一代的数据库管理产品，其建立在SQL Server 2005的基础上，在性能、稳定性、易用性方面都有相当大的改进。SQL Server 2008 R2，作为 Microsoft 的完整信息的平台，使收集、管理和使用业务信息更容易，也为企业提供了更经济高效的解决方案。微软将于五月发布的Microsoft SQL Server 2008 R2是SQL Server数据库的最新版本，其中包含了大量新特性，其中的R2标志表示这是SQL Server的中间版本，而不是一个主版本，但是其中较上一个版本也提供了很多很有用的新功能。在之前的SQL Server 2005和SQL Server 2008的基础之上，SQL Server 2008 R2版本做了很多方面的改进来增强和扩展其安全性，提供了功能强大的透明加密和密钥管理功能、强身份验证和访问控制的安全性增强功能、有助于有效管理安全性功能配置策略、以及增强的安全审核，本文将就SQL Server 2008 R2版本在这几方面对安全性的改进做简要介绍：

　　1. SQL Server 2005安全性回顾

　　数据库的安全性是指保护数据库，以防止不合法的使用造成的数据泄漏、更改或破坏。SQL Server 2005分别增强了DDL行为捕获及审核、数据加密、目录安全性、用户及结构分离、执行上下文、登陆凭据加密等几项功能来解决相应安全问题，如下表1所示：

表1 SQL Server 2005安全增强的对应关系

　　2. SQL Server 2008 R2安全性概述

　　SQL Server 2008 R2提供了许多旨在该神数据库总体安全性的增强功能的新功能，增加了密钥加密和身份验证功能，并引入了新的审核系统，以帮助用户加强对策略的审核。在数据库存储安全方面有了比较大的变化，已不在提供SQL Server 2005外围应用配置器工具。

       3. 增强的数据库加密

　　SQL Server 2000及其早期版本不支持加密存数在数据库中的数据，SQL Server 2008在加密方面有两个主要的改进：一、SQL Server可以使用存储在外部第三方安全模块上的加密密钥。二，对存储在SQL Server中的数据，可采用对连接到该数据库的应用程序透明的方法来对其进行加密，这样数据库管理员可以轻松的对整个数据库中存储的数据进行加密，而不必修改现有的应用程序代码。

　　第一个改进是通过新的可扩展密钥管理(EKM)功能实现的，SQL Server 2008 R2为数据加密和密钥管理提供了全面的解决方案，通过支持第三方密钥管理和硬件安全模块(HSM)产品，可以满足对数据中心信息日益增加的高安全性需求。在SQL Server 2008 R2 Enterprise、Developer和Evaluation版本中提供有该功能。EKM使企业密钥管理和硬件安全管理模块(Hardware Security Module,HSM)解决方案的第三方供应商可在SQL Server中注册其设备，一旦设备注册了，用户则可使用模块中存储的加密密钥，供应商则可在这些模块中提供高级加密功能(如密钥老化和密钥轮换)，由外部硬件执行加密和解密操作。在特定的配置上，还可以使用非系统管理员组成员的数据库管理员提供的数据保护，可在后续的操作中用T-SQL加密语句使用存储在外部EKM设备上的密钥来加密和解密，EKM设备密钥结构如下图1所示。

　　图1 EKM设备密钥结构

　　使用EKM的优点在于：

　　可使用第三方的企业密钥管理系统

　　•整合整个企业的密钥管理

　　•简化密钥的存储和管理

　　•提供包括密钥生成、获取、过期、循环处理等管理机制

　　•提供额外的身份验证保护

　　 提供企业级的加密手段

　　•整合和简化整个企业的加密框架

　　•通过硬件加密手段提高性能

　　通过安全模块分离密钥和数据

　　•在物理上分开存储数据和密钥

　　•避免dbo访问密钥

　　•提供SQL Server没有的高级密钥管理机制