Algumas recomendações simples:

1. Não exponha o acesso ao seu servidor de banco de dados à Internet. Ele deve estar protegido por um firewall que só permite que o servidor da Web o acesse por uma porta específica (não o padrão).
2. Não permita a área de trabalho remota ou qualquer outro tipo de acesso semelhante de conexões externas. Para conexões internas, certifique-se de que as senhas sigam algum tipo de política. Por exemplo, exija números, caracteres estendidos etc.
3. Mantenha os arquivos do banco de dados no diretório de dados normal do sql server (a segurança do arquivo já está configurada para você).
4. Use criptografia de banco de dados transparente:http://msdn.microsoft .com/en-au/magazine/cc163771.aspx#S5 e Como proteger o servidor sql Arquivo MDF de 2005
5. Verifique se o compartilhamento de arquivos está desativado.
6. Certifique-se de que as únicas pessoas que podem acessar esse servidor sejam as responsáveis ​​por ele.
7. Leia sobre injeção de sql para evitar outros mecanismos de acesso.
8. Use a segurança do Active Directory para contas de usuário de banco de dados.
9. Use SSPI para as conexões db para que você não tenha um nome de usuário/senha armazenado em seu web.config
10. Certifique-se de que a conexão de rede entre sua web e o servidor de banco de dados esteja criptografada por meio de kerberos.