今年之前，我就写了一些SQL Server 2008安全特征如何帮你降低风险的文章。现在SQL Server 2008已经发布了一段时间了，那么应该如何保证呢？它是不是能够抵御住一些常见的攻击？

我们用一些攻击评估工具测量，它还是比较好的。这的确是我见过的微软最好的裸机数据库安全态势。但遗憾的是没有一个主流商业数据库攻击扫描仪是我们能够用来真正挖掘SQL Server弱点并且支持SQL Server 2008的。至少我知道的就是这样。所以从这个角度来说，仍有待观察。

除了攻击扫描之外，还有一点很重要：仅因为一个软件（如SQL Server 2008开始的时候是安全的）并不是说它在你的环境中是安全的。只要你能很好处理这些漏洞，你就不用担心SQL Server问题。

以下对微软不能为你解决的一些问题的总结：

• 缺少合理政策，如强烈需要SQL Server密码
• 数据库相关软件没有写入安全保障
• 缺省OS和SQL Server补丁，它们允许攻击者用Metasploit或其中的商业选项对你的数据库进行远程访问。
• 改变管理缺口和疏忽状况，如多重管理使得配置根据数据库环境而发生改变，这样就导致了SQL Server安全漏洞。
• 不严谨的网络设计让人们从内网和外网中获得攻击数据库环境的机会。
• 缺乏安全监控和事故管理就能帮你防止数据库受到攻击或者至少让它们免遭太大的打击。
• Windows 操作系统表明存在的调查结果。
• Web应用输入允许SQL注入的验证缺陷。
• 包括了书写得当、创建较好的SQL Server安全目标就是让数据库安全在事务范围内获的优先权。

即使SQL Server 2008包括所有最新、最好的安全特征，你仍然会面临数据库攻击。所以，我们还没有脱离危险，以前SQL Server旧版本也没有摆脱过。也就是说，我们用SQL Server 2008可能会更好。你唯一要知道的方法就是看看你现在的位置，保持可视性、把握并且控制你环境中新的安全漏洞。需要警惕的并不是一切，就是这一件事情。