什么時(shí)候需要執(zhí)行 SQL Server 備份加密？

作為數(shù)據(jù)庫管理員，保護(hù)我們的數(shù)據(jù)是我們最重要的任務(wù)之一。我們當(dāng)然不希望有人在未經(jīng)授權(quán)的情況下隨意查看我們的數(shù)據(jù)庫，只需將備份恢復(fù)到他們自己的硬件即可，尤其是當(dāng)我們將敏感數(shù)據(jù)存儲(chǔ)在其中時(shí)。

因此，為了不泄露數(shù)據(jù)，進(jìn)行SQL Server 備份加密幾乎是必須的。我強(qiáng)烈建議您在這些情況下執(zhí)行 SQL Server 備份加密：

• 您的數(shù)據(jù)庫中有敏感數(shù)據(jù)
• 您要將數(shù)據(jù)庫備份存儲(chǔ)在異地或云端
• 您希望將訪問權(quán)限限制為只有獲得授權(quán)的人才能訪問

是否支持 SQL Server 版本備份加密？

在 SQL Server 2014 之前，通常使用透明數(shù)據(jù)加密 (TDE) 來加密靜態(tài)數(shù)據(jù)，但它會(huì)顯著降低查詢性能并增加 CPU 消耗。

幸運(yùn)的是，自SQL Server 2014以來，新的備份加密選項(xiàng)允許我們在創(chuàng)建備份時(shí)加密備份，只有在我們指定加密算法和加密器來保護(hù)加密密鑰之后。?

但是，備份加密在 SQL Server Express、SQL Server Web 和 SQL Server 2014 之前的版本上仍然不可用。因此，如果您使用的是 SQL Server Express、Web，或者您想在 SQL Server 2012、2008 中執(zhí)行備份加密，等等，我建議你選擇專業(yè)備份軟件支持所有版本。

SQL Server 2014及以后版本如何加密備份

在開始之前，我們需要了解兩件事。

1. 加密備份不能附加到現(xiàn)有備份集。因此我們需要備份到一個(gè)新的備份集。

2. 我們首先需要指定加密算法和加密器來保護(hù)加密密鑰。以下是支持的加密算法和加密器。SQL Server備份加密一般我們選擇AES 256和證書。

• “支持的加密算法”：ES 128、AES 192、AES 256 和 Triple DES。
• “加密器”：證書或非對(duì)稱密鑰。

SQL Server 備份加密的先決條件

加密SQL服務(wù)器備份創(chuàng)建時(shí)需要SMK、DMK和證書，先備份好。?

首先讓我向您解釋一下它們是什么以及 SQL Server 備份加密的工作原理。

• Service Master Key (SMK) : SMK是我們在安裝SQL Server時(shí)自動(dòng)生成并存儲(chǔ)在系統(tǒng)主數(shù)據(jù)庫中的，對(duì)于每個(gè)實(shí)例都是唯一的。它將用于加密數(shù)據(jù)庫主密鑰。
• Database Master Key (DMK)：DMK對(duì)于每個(gè)實(shí)例的每個(gè)系統(tǒng)主數(shù)據(jù)庫都是唯一的。DMK 用于保護(hù)證書或非對(duì)稱密鑰。
• Certificate : Certificate 可以包含一個(gè)受數(shù)據(jù)庫主密鑰保護(hù)的私鑰，或一個(gè)非對(duì)稱密鑰（最好不要選擇它）。它用于加密數(shù)據(jù)庫備份。

? Step 1. 檢查DMK是否存在

啟動(dòng)SSMS并連接到您的實(shí)例。單擊上方欄中的“新建查詢”并輸入以下語句。

選擇 * 從 master.sys.symmetric_keys

單擊“執(zhí)行”。在結(jié)果中，您可以檢查 DMK 的存在。如果沒有，那么我們需要?jiǎng)?chuàng)建一個(gè)。

? 步驟 2. 創(chuàng)建 DMK

輸入以下語句并單擊“執(zhí)行”。

-- 創(chuàng)建數(shù)據(jù)庫主密鑰
CREATE MASTER KEY ENCRYPTION BY PASSWORD=' password '

? 步驟 3. 創(chuàng)建證書

-- 創(chuàng)建備份證書
USE master
GO
CREATE CERTIFICATE Certificate
WITH SUBJECT = ' SQL Backup Certificate ';
GO

? 步驟 4. 備份 SMK

-- 備份服務(wù)主密鑰
USE master
GO
BACKUP SERVICE MASTER KEY
TO FILE = ' filepath\SMKfilename.key '
ENCRYPTION BY PASSWORD = ' SMKpassword ';
GO

? 步驟 5. 備份 DMK

-- 備份數(shù)據(jù)庫主密鑰
BACKUP MASTER KEY
TO FILE = ' filepath \DMKfilename.key '
ENCRYPTION BY PASSWORD = ' DMKpassword ';
GO

? 步驟 6. 備份證書

-- 備份證書
BACKUP CERTIFICATE Certificate
TO FILE = ' filepath \CertificateFilename.cer '
WITH PRIVATE KEY(
FILE = ' filepath \CertificateKeyFilename.key ',
ENCRYPTION BY PASSWORD = ' CertificatePassword ');
GO

現(xiàn)在我們已經(jīng)創(chuàng)建了 4 個(gè)用于 SQL Server 備份加密的文件。

加密 SQL 數(shù)據(jù)庫備份的 3 種常用方法

本部分介紹如何對(duì) SQL 數(shù)據(jù)庫備份進(jìn)行加密?；旧?，當(dāng)你創(chuàng)建了一個(gè)DMK和一個(gè)證書，備份它們之后，你只需要再做2件事，就是選擇“備份加密” “選項(xiàng)”，和按照正常的備份過程備份到另一個(gè)媒體集。其余步驟都是一樣的。

? 方式1： 使用T-SQL的SQL Server備份加密

1. 啟動(dòng) SSMS 并連接到您的實(shí)例。單擊上方欄中的新建查詢，輸入以下語句。

-- 使用加密備份數(shù)據(jù)庫
BACKUP DATABASE databasename
TO DISK = ' filepath\filename.bak '
WITH ENCRYPTION (ALGORITHM = AES_256 , SERVER CERTIFICATE = certificatename )

2. 然后單擊“執(zhí)行”創(chuàng)建加密備份。

? 方式 2： 使用 SSMS GUI 的 SQL Server 備份加密

1. 啟動(dòng)SSMS并連接到您的實(shí)例。右鍵單擊要備份的數(shù)據(jù)庫名稱，然后選擇“任務(wù)”>“備份...”

2.在“常規(guī)”頁面中選擇“備份類型”和“目標(biāo)”。

3. 然后轉(zhuǎn)到“媒體選項(xiàng)”頁面。選擇“備份到新的媒體集，并擦除所有現(xiàn)有的備份集”。為新集合“命名并寫一些”“描述”。

4. 轉(zhuǎn)到“備份選項(xiàng)”頁面，選中“加密備份”，選擇“加密算法”和“證書或非對(duì)稱密鑰”。

5. 然后單擊“確定”開始加密備份。

? 方式3：使用維護(hù)計(jì)劃的SQL Server備份加密

1. 啟動(dòng)SSMS并連接到您的實(shí)例。展開“管理”菜單并右鍵單擊“維護(hù)計(jì)劃”，選擇“新建維護(hù)計(jì)劃…”

2. 點(diǎn)擊“對(duì)象資源管理器”旁邊的“工具箱”，雙擊“備份數(shù)據(jù)庫任務(wù)”創(chuàng)建一個(gè)新的備份任務(wù)。

3. 雙擊右側(cè)空白處的任務(wù)進(jìn)行“編輯”。

4.在“常規(guī)”頁面中選擇“備份類型”?和單個(gè)或多個(gè)?“數(shù)據(jù)庫”，然后選擇“目標(biāo)”。

5. 在選項(xiàng)頁面勾選“備份加密”，并選擇“算法”和“證書或非對(duì)稱密鑰”。

6. 然后單擊“確定”保存更改?，F(xiàn)在您可以保存計(jì)劃并在SQL Server 代理作業(yè)中運(yùn)行它。

一種輕松加密 SQL 備份的方法（支持所有版本）

SQL Server 備份加密雖然方便，但在SQL Server Express和2014之前的版本中不可用。因此，您可能需要支持所有版本的第三方軟件來為您完成。我建議你申請傲梅企業(yè)備份網(wǎng)絡(luò)版. 原因如下：

• “輕松的過程”：傲梅企業(yè)備份網(wǎng)絡(luò)版 將 SQL Server 數(shù)據(jù)庫備份的過程簡化為 3 個(gè)主要步驟。憑借其直觀的界面，您可以在創(chuàng)建時(shí)通過簡單的點(diǎn)擊和密碼設(shè)置來加密所有版本的數(shù)據(jù)庫備份。
• 遠(yuǎn)程備份 LAN 內(nèi)的另一臺(tái)計(jì)算機(jī)：它允許您從一臺(tái)控制計(jì)算機(jī)集中控制 LAN 內(nèi)的所有筆記本電腦、工作站和服務(wù)器。您可以遠(yuǎn)程備份單個(gè)或多個(gè) SQL 數(shù)據(jù)庫，這樣您就不必為移動(dòng)備份而冒數(shù)據(jù)泄露的風(fēng)險(xiǎn)。
• “遠(yuǎn)程還原到另一臺(tái)計(jì)算機(jī)”：您也可以直接將 SQL 備份還原到局域網(wǎng)內(nèi)的另一臺(tái)受控計(jì)算機(jī)。

為您提供180天免費(fèi)試用：

下載軟件

Windows個(gè)人電腦和服務(wù)器

要正確使用 企業(yè)備份網(wǎng)絡(luò)版，特別是如果您想管理局域網(wǎng)內(nèi)的多臺(tái)計(jì)算機(jī)，您需要先進(jìn)入“計(jì)算機(jī)”頁面。單擊上方欄的“安裝客戶端程序”可手動(dòng)或遠(yuǎn)程下載客戶端計(jì)算機(jī)上的?Agent 。

對(duì)于那些手動(dòng)下載客戶端程序的計(jì)算機(jī)，您需要請求對(duì)其進(jìn)行控制才能進(jìn)行進(jìn)一步的操作。

單擊“計(jì)算機(jī)” > “不受控制的計(jì)算機(jī)”，選擇一臺(tái)或多臺(tái)客戶端計(jì)算機(jī)，然后單擊上方欄中的“請求控制” 。

他們的電腦上會(huì)彈出一個(gè)權(quán)限請求窗口，一旦收到所有權(quán)限，您就可以隨時(shí)管理他們。

如何創(chuàng)建加密的 SQL Server 備份？

1.點(diǎn)擊"任務(wù)" > “新建任務(wù)”，選擇SQL Server備份，新建一個(gè)備份任務(wù)。

在彈出窗口中，您可以通過將光標(biāo)移動(dòng)到任務(wù)名稱并單擊它來“更改任務(wù)名稱”。

然后按照任務(wù)名稱下方的 3 個(gè)步驟進(jìn)行操作。

2.第1步，點(diǎn)擊“添加計(jì)算機(jī)”添加您要備份的受控客戶端計(jì)算機(jī)。

3、第2步，點(diǎn)擊“添加”選擇要備份的單個(gè)或多個(gè)SQL實(shí)例和數(shù)據(jù)庫。

4.第3步，選擇一個(gè)位置作為“目標(biāo)路徑”。您可以單擊“添加存儲(chǔ)”來添加共享或NAS 路徑作為存儲(chǔ)端。

5. 然后點(diǎn)擊“設(shè)置”。在“常規(guī)”頁面中選中“為備份啟用加密”，“鍵入并確認(rèn)密碼”。

您可以啟用“電子郵件通知”并在設(shè)置中選擇“壓縮”級(jí)別。

單擊設(shè)置旁邊的“計(jì)劃”，您還可以指定自動(dòng)運(yùn)行此任務(wù)的日期和時(shí)間。

點(diǎn)擊“高級(jí)”，您可以選擇執(zhí)行?完整備份或SQL數(shù)據(jù)庫差異備份。

6. 現(xiàn)在您可以單擊“開始備份”以選擇“僅創(chuàng)建任務(wù)”或“創(chuàng)建并執(zhí)行任務(wù)”。

創(chuàng)建后，任務(wù)將單獨(dú)列在“任務(wù)”中，以供進(jìn)一步編輯或恢復(fù)?；謴?fù)時(shí)，它會(huì)列出所有備份，并通過名稱中的備份類型和日期來區(qū)分它們。

您可以選擇將備份還原到本地服務(wù)器，或者局域網(wǎng)內(nèi)將 SQL 數(shù)據(jù)庫恢復(fù)到另一臺(tái)服務(wù)器。

如何檢查 SQL Server 備份是否加密？

啟動(dòng)SSMS并連接到您的實(shí)例。單擊上方欄中的“新建查詢”并輸入以下語句。

RESTORE HEADERONLY
?FROM DISK = N' filepath\Filename.bak ';?
GO

單擊“執(zhí)行”。如果未加密，則它們將為NULL。

總結(jié)

備份加密是一項(xiàng)有用的功能，可避免數(shù)據(jù)泄露。在本文中，我分析了何時(shí)應(yīng)該執(zhí)行 SQL Server 備份加密，并介紹了 3 種實(shí)現(xiàn)方法。

但是，它僅從 SQL Server 2014 開始，在 Express 版本上不可用。所以，如果你使用的是Express或者2014之前的版本，建議你選擇傲梅企業(yè)備份網(wǎng)絡(luò)版，在SQL Server中進(jìn)行備份加密。它可以為您節(jié)省很多精力。

除了SQL數(shù)據(jù)庫備份外，該軟件還集中了許多其他實(shí)用功能，例如文件、系統(tǒng)、磁盤和分區(qū)備份。所有這些都可以毫不費(fèi)力地加密。