|
關(guān)于數(shù)據(jù)庫安全的層面大體分為兩層:第一層是指系統(tǒng)安全運行。對系統(tǒng)安全運行的威脅主要是指一些網(wǎng)絡(luò)犯罪分子通過互聯(lián)網(wǎng)�、局域網(wǎng)等侵入計算機的破壞性活動���。造成系統(tǒng)不能正常啟動�,或計算機超負荷運行大量算法�����,導(dǎo)致CPU風扇故障����,造成CPU過熱燒壞了主板��;第二層是指系統(tǒng)信息安全�,通常受到黑客入侵數(shù)據(jù)庫和竊取所需數(shù)據(jù)的威脅。數(shù)據(jù)的安全性主要是針對數(shù)據(jù)庫的���,它包括數(shù)據(jù)獨立性���、數(shù)據(jù)安全性��、數(shù)據(jù)完整性���、并發(fā)控制、故障恢復(fù)等方面����。根據(jù)一些權(quán)威機構(gòu)的數(shù)據(jù)泄露調(diào)查分析報告和對已發(fā)生的信息安全事件的技術(shù)分析,總結(jié)出信息泄露的兩種趨勢���。
使用B/S模式�,以Web服務(wù)器為跳板從數(shù)據(jù)庫中竊取數(shù)據(jù)����,典型的攻擊是SQL注入攻擊,主要是因為應(yīng)用和數(shù)據(jù)庫直接訪問協(xié)議����,沒有任何控制。內(nèi)部經(jīng)常發(fā)生數(shù)據(jù)泄露,大量運維人員直接接觸敏感數(shù)據(jù)����,導(dǎo)致網(wǎng)絡(luò)安全使用的損失。在信息安全保護系統(tǒng)中�����,數(shù)據(jù)庫安全必須是保護的核心�,不容易受到外部攻擊者的攻擊。同時數(shù)據(jù)庫本身要有很強的安全措施��,可以抵御和發(fā)現(xiàn)入侵者����。為了保證數(shù)據(jù)庫的安全性,應(yīng)該采取三個步驟:提前診斷��、過程控制和事后分析�����。
1.提前診斷��。用數(shù)據(jù)庫漏洞掃描系統(tǒng)掃描數(shù)據(jù)庫��,給出數(shù)據(jù)庫安全評估結(jié)果�,暴露當前數(shù)據(jù)庫系統(tǒng)的安全問題。用專業(yè)的安全軟件掃描應(yīng)用系統(tǒng)�����,發(fā)現(xiàn)應(yīng)用漏洞��,及時封堵��;模擬攻擊者的攻擊�,對數(shù)據(jù)庫進行探索性分析,重點檢查用戶權(quán)限是否越權(quán)等�。,并收集應(yīng)用系統(tǒng)漏洞和數(shù)據(jù)庫漏洞��;檢查敏感數(shù)據(jù)是否加密��、危險的擴展存儲過程是否被禁用�����、端口是否安全�����、訪問協(xié)議是否安全等。提前診斷越充分���,越有利于系統(tǒng)安全��。
2.事件中的控制�����。及時關(guān)閉數(shù)據(jù)庫服務(wù)器��,切斷攻擊者與數(shù)據(jù)庫的聯(lián)系�。雖然會面臨一定的損失�����,但總比數(shù)據(jù)丟失危害小很多����。
3.事后分析。利用數(shù)據(jù)庫審計功能�����,分析數(shù)據(jù)庫訪問日志����,及時發(fā)現(xiàn)可疑操作和可疑數(shù)據(jù),利用數(shù)據(jù)庫備份及時進行數(shù)據(jù)恢復(fù)���。
4.對SQL注入攻擊的數(shù)據(jù)庫表進行表的函數(shù)設(shè)置��,比如金額這里只允許寫入數(shù)字�����,而不能寫入其他內(nèi)容��。
5.數(shù)據(jù)庫可以采用內(nèi)網(wǎng)單獨的服務(wù)器����,促使網(wǎng)站和數(shù)據(jù)庫分離�����,權(quán)限劃分開��,以防被提權(quán)拿到最高權(quán)限���。
6.對數(shù)據(jù)庫進行全面的安全加固���,如端口以及賬戶權(quán)限和組件�,或讀寫分離���,如果不對這些安全加固防護都不懂得話可以像網(wǎng)站安全公司求助����。
| 
