SQL Server 2005 VS. Oracle 10g:安全性比较

    帐户管理 

    验证 
    SQL Server 2005支持两种类型的验证：Windows验证和SQL Server验证。 

    Windows验证是SQL Server 2005中默认和推荐的验证模式。Windows验证为Windows用户提供了单一帐户登录（SSO）解决方案，用户需要记住的密码减少了，意味着用户将密码写在纸上的可能性也减少了。Windows验证除了可以利用单一帐户进行登陆，还可以利用Windows组来管理安全性，从而使帐户管理更简单。通过Windows集成，SQL Server 2005可以利用诸如密码复杂性和密码过期等应用在Windows域账户上的安全策略。由于和Windows域使用了相同的安全策略，因此您可以在整个计算环境中推行一致的密码策略。Windows验证还可以利用Windows用户使用的诸如Kerberos和NT LAN Manager（NTLM）作为安全验证协议，对通过网络发送的密码进行加密。

图1：SQL Server 2005验证选项和新的强制密码策略及密码过期策略

    在SQL Server中还包含SQL Server验证，负责为非Windows用户或者连接字符串中包含用户ID和密码的应用程序提供验证。这种登陆方式易于使用，也很受应用开发员的欢迎，但是它却不向Windows验证那样安全，微软也不推荐使用该模式。SQL Server 2005对SQL Server验证选项作了重大改变。 

    首先，如果使用新的Microsoft数据访问组件（MDAC）客户端，那么SQL验证方式支持通过SQL生成的证书进行加密。此外，进一步增强了SQL验证模式，默认SQL Server 2005所有客户/服务器之间的通信都是加密的。Oracle 10g标准版中是不包含网络加密选项的。 

    其次，SQL Server 2005结合Windows Server™ 2003，提供对密码复杂性、密码过期、帐户锁定等组策略的支持。这意味着您可以推行和Windows帐户相同的密码策略。密码更难被破译，因为从SQL Server 2005开始所有密码都区分大小写。 

    无论选择那种安装模式，SQL Server验证都要求您安装时必须设置sa密码，如图2所示。这种预防措施降低了恶意用户利用可能存在的bug进行攻击的风险。

图2：SQL Server 2005验证模式对话框

1