用於 Web 電子投票 Web 應用程序的 SQL Server Express 的安全問題

我正在建構一個數據庫驅動的 Web 應用程序。該網路應用程序基本上是一個電子投票網站，使用者可以在其中註冊和投票涉及他們社區的事情……等等。

使用的數據庫引擎是 SQL Server Express 2008。我知道我的域模型和應用程式碼不允許任何愚蠢的安全漏洞，例如使用者查看其他使用者的投票……等等。

但除此之外，我可以做些什麼（免費）來確保我的數據庫安全？所以即使黑客獲得了我的數據庫的訪問權限，他也不能用它做任何事情嗎？或者讓他很難受。

我意識到這個問題可能有點開放式，但一些簡單的提示將不勝感激。

安全性是一個如此廣泛的話題，它完全取決於您公司的政策和您試圖避免的威脅級別。

您可以按照SQL Server 2005 Express Edition - Part 6 - Post Installation Configuration Tasks (Encryption)和SQL Server 2005 Security - Part 3 Encryption中所述在 sql 2005 express 中使用本機非對稱加密。

您可以使用主密鑰加密/證書/對稱密鑰。閱讀：SQL SERVER – SQL Server 加密簡介和帶腳本的對稱密鑰加密教程

此外，如果您試圖阻止已經通過某些第三方軟體（如BitLocker或開源True Crypt ）訪問數據庫伺服器的黑客，您也可以在文件級別或整個磁碟上保護 sql server 備份。

Brian Kelley 有一篇關於使用 SQL Server 實現加密文件系統 (EFS)的有趣文章。

還有一份關於SQL Server 安全最佳實踐的白皮書。

引用自：https://dba.stackexchange.com/questions/43589