数据库备份被盗了，病毒攻击了服务器，数据库有未经授权的更改——如果SQL Server安全保护设置宽松的话，这些事情都会发生。

    数据库技术本质上就是许多信息系统的组件，这是由于它们用来存储大量敏感企业数据而决定的，比如客户信息和其它机密商业数据。正因如此，把像SQL Server这样的数据库称为任何组织最有价值的资产并不为过，这也正是数据库在内部和外部攻击面前必须确保安全的原因。

    不幸的是，事实并非如此，许多组织仍然发现数据库安全是一个不太受人关注的话题。结果，他们没有全面的数据库安全策略来保护他们的数据库基础设施不受内部和外部攻击。许多数据库甚至不能满足常规法规需求，比如Gramm-Leach-Bliley法案（简称GLBA）、欧洲数据保护联盟（简称EUDPD）、健康保险流通与责任法案（简称HIPAA）、支付卡行业数据安全标准（简称PCI DSS）以及塞班斯法案（简称SOX）。

    公司缺乏SQL Server安全策略

    XYZ公司是一家大型制药公司，在全球范围内针对小型制药公司销售各种医药产品。因为SQL Server有良好的往绩记录，漏洞和弱点比较少，所以XYZ公司使用SQL Server作为主数据库技术，存储公司的保密数据，比如客户信息、卡信息和员工信息。这些数据是从原始Excel电子表格中移植过来的。近几年来，XYZ公司已经在其所有业务领域获得了显着增长。然而，在过去一年里，该公司却面临巨大舆论压力——泄露客户数据，未经授权访问以及其它造成SQL Server基础设施不安全的原因。

    下面是XYZ公司SQL Server基础设施安全漏洞列表：

    ●未经授权的更改。

    在过去的一年中，未经授权的数据库变更是其SQL Server基础设施故障的主要因素。这是因为XYZ公司目前没有变更管理流程。未经授权对数据库变更意味着更大的外部威胁，比如来自外部黑客或恶意代码的攻击。

    对于XYZ公司SQL Server数据库代码部署，很需要一套文档化而且健全的变更管理流程，因为它可以确保授权变更应用到生产数据库并避免不必要的风险。

    ●未授权用户。

    在少数情况下，会有未经授权的用户连续访问XYZ公司的SQL Server数据库。这主要发生在SQL Server实例配置为混合授权模式的情况下，或者“BUILTIN\Administrators”是“系统管理员”角色也有可能发生。经调查，大部分SQL登录（包括用sysadmin（sa）权限的登录）存在漏洞或者空密码，而且用户没有被强制要求定期修改密码。