浅谈Win server 08服务器系统数据安全

关键词： 文件系统 IPSec 数据安全 服务器 WindowsServer2008

　　数据安全是任何数据服务解决方案中的一个关键要求，而WindowsServer2008和SQLServer2008结合起来，通过一个基于加密技术的强大集合提供了一个端对端数据保护。

　　WindowsServer2008依靠内置的IP安全(IPSec)支持，通过网络连接提供加密数据转移。

　　WindowsServer2008提供了一个增强的IPSec执行，这简化了配置和降低了管理费用。

　　NTFS：

　　NTFS是微软WindowsNT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。

　　为什么应用NTFS呢?

　　压缩功能：包括压缩或解压缩驱动器、文件夹或者特定文件的功能。

　　文件加密：它极大地增强了安全性。

　　更好的伸缩性：划分NTFS分区要比FAT分区大得多，当分区大小增加时，NTFS的性能并不会降低，而在此情形下FAT的性能会降低。

　　恢复磁盘活动的日志记录;它允许NTFS在断电或发生其他系统问题时尽快地恢复信息。

　　安装域控制器和ActiveDirectory需要使用NTFS。

　　远程存储：使可移动媒体(如磁带)更易访问，从而扩展了磁盘空间。

　　磁盘配额：可用来监视和控制单个用户使用的磁盘空间量。

　　WindowsServer2008，支持事务的NTFS，它可让NTFS文件系统中的所有操作控制在一个事务中，通过新的内核事务管理器，允许操作系统服务加入到一个事务中。

　　Server2008FILESTREAM数据类型使大型的二进制数据，像文档和图片等可以直接存储到一个NTFS文件系统中;文档和图片仍然是数据库的主要组成部分，并维护事务的一致性。

　　FILESTREAM使传统的由数据库管理的大型二进制数据可以作为单独的文件存储在数据库之外，它们可以通过使用一个NTFS流API进行访问。使用NTFS流API使普通文件操作可以有效的执行，同时提供所有丰富的数据库服务，包括安全和备份。

　　事务的NTFS也能够和MSDTC(DistributedTransactionCenter)通讯。如此，可以使应用程序由数据库调用组成，也包括文件系统的操作(比如文档管理系统)。该事务功能基于SMB2.0(服务器消息模块)协议建立，因此可以将一个分布式的文件操作包含到一个事务中。

　　TDE：

　　SQLServer2008中的透明数据加密(TDE)，可以选择同SQLServer2005中一样使用单元级的加密，或者是使用TDE进行完全数据库级加密、或者是由Windows提供的文件级加密。

　　它旨在为整个数据库提供静态保护而不影响现有的应用程序。对数据库进行加密，传统上都会涉及复杂的应用程序改动，例如修改表schemas、删除函数和明显的性能下降。

　　TDE简单地加密了所有东西，所有的数据类型、键、索引，等等这些可以完全使用而不必牺牲安全或泄漏磁盘上的信息。

　　TDE是文件级的，它和两个Windows特性类似：文件加密系统(EFS)和驱动盘加密。

　　TDE没有替代单元级加密、EFS或BitLocker。TDE适用于大量加密，它可以满足调整遵从性或公共数据安全标准。

　　TDE在数据文件或备份文件会被访问和拷贝时保护数据。当对硬件安全模块的支持和它结合起来，TDE就提供了一个有效的保护存储在桌上电脑中数据库里的数据的方法。此加密确保了当计算机丢失或被盗时，如果没有相应的安全硬件模块，就打不开数据库。为了更好的保护数据，WindowsServer2008提供了增强的MicrosoftBitLocker驱动加密技术，可以使用它来加密计算机里所有的硬件磁盘。

　　SQLServer2008进一步扩展了这个能力，通过支持加密数据库连接，为数据在网络上传输时提供保护，而且还提供新的、强大的显示数据加密(TDE)功能。TDE加密数据库和备份文件中的数据而不必对访问这个数据的客户端应用程序做任何改动。

　　小结：

　　SQLServer2008和WindowsServer2008结合在一起，提供了一个在安全、遵从性和高有效性方面非常引人注目的解决方案，通过一个强大的验证机制提供了一个安全的平台，这个验证机制将Windows验证和SQLServer集成在一起。