文章內(nèi)容

如何授權(quán)web服務(wù)器提供安全數(shù)據(jù)庫訪問

發(fā)布時(shí)間: 2012/5/25 19:28:16

允許Web用戶訪問數(shù)據(jù)庫是一項(xiàng)很精細(xì)的工作，需要認(rèn)真的考慮，不能馬虎從事。

TechRepublic會(huì)員E Spigle 最近在TechRepublic Technical 的Q&A forum上提出了下面這個(gè)問題：

我們正在進(jìn)行一項(xiàng)工作，把一個(gè)很老的FoxPro系統(tǒng)轉(zhuǎn)換成我所工作的公司里的MS SQL / VB系統(tǒng)。我們已經(jīng)在內(nèi)部廣泛地使用了SQL數(shù)據(jù)庫。它目前位于我們局域網(wǎng)的防火墻之后，只能支持內(nèi)部使用。可是我們的一部分轉(zhuǎn)換程序帶來了一些Web聯(lián)機(jī)應(yīng)用�，F(xiàn)在我們就面臨一個(gè)兩難的局面，我們必須為了讓W(xué)eb用戶和局域網(wǎng)的用戶能夠同時(shí)訪問同一個(gè)數(shù)據(jù)庫找到一個(gè)好的解決方法。目前我們的IIS 6.0 Web server在DMZ.如何能夠讓web服務(wù)器為網(wǎng)絡(luò)應(yīng)用提供數(shù)據(jù)庫訪問呢?

問題分析

這是個(gè)很有意思的問題，第一眼看起來很簡單，但是當(dāng)你再對(duì)它進(jìn)行深入考慮后，你就會(huì)發(fā)現(xiàn)它的復(fù)雜之處。任何時(shí)候，當(dāng)你想要使數(shù)據(jù)庫具有互聯(lián)網(wǎng)訪問能力時(shí)，都有很多問題需要考慮。我首先會(huì)考慮的問題就是“我們處理的是什么類型的數(shù)據(jù)?”和“信息的敏感程度如何?”

我會(huì)考慮這兩個(gè)問題的原因是我需要確定這些數(shù)據(jù)能夠承受多大的風(fēng)險(xiǎn)。如果不能夠承擔(dān)任何風(fēng)險(xiǎn)，我可能會(huì)投入很多的資源和精力來保證我的數(shù)據(jù)盡可能不受侵害。但是，如果可以承擔(dān)一定的風(fēng)險(xiǎn)，我會(huì)謹(jǐn)慎從事，但不會(huì)采用極端手段。比如，如果數(shù)據(jù)是一個(gè)病人的醫(yī)療歷史信息，我就會(huì)不遺余力地保護(hù)數(shù)據(jù)安全，這就意味著不通過IIS連接，不使用SQL Server.

在我詳細(xì)說明以前，我要聲明，我對(duì)微軟并沒有偏見。我僅僅是要避免風(fēng)險(xiǎn)。微軟的產(chǎn)品能夠被很好地保護(hù)，并且在上述的情況下工作良好。但是，由于它的流行性，微軟的產(chǎn)品更容易成為病毒，蠕蟲、黑客和諸如此類攻擊的靶子。在對(duì)于風(fēng)險(xiǎn)承受能力比較低的環(huán)境里避免使用微軟的產(chǎn)品，這樣就能夠減少我的麻煩。

而且，根據(jù)數(shù)據(jù)所能夠承擔(dān)的風(fēng)險(xiǎn)程度，我將決定是否需要在web服務(wù)器和數(shù)據(jù)庫之間進(jìn)行加密，以及數(shù)據(jù)在數(shù)據(jù)庫里是否需要加密。如果我們希望能夠獲得最高的安全性，我就會(huì)選擇使用內(nèi)置的或者第三方的加密軟件。如果數(shù)據(jù)對(duì)于安全性要求不是那么高，我就會(huì)選擇根本不加密，或者選擇低級(jí)別一些的加密方法。

最后，我還需要決定使用什么樣的連接來訪問數(shù)據(jù)庫。如果加密是必須的，或者/而且訪問是通過客戶服務(wù)器軟件來進(jìn)行(如同問題里描述的那樣)，那么我就需要使用VPN和一個(gè)應(yīng)用層的代理。而且，我可能會(huì)考慮在我的Web服務(wù)器和數(shù)據(jù)庫之間，設(shè)置一個(gè)應(yīng)用服務(wù)器。

本文出自：億恩科技【mszdt.com】

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]