自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

認(rèn)識(shí)數(shù)據(jù)庫(kù)安全威脅 保護(hù)數(shù)據(jù)安全(1)

作者:佚名
安全 數(shù)據(jù)安全
我們都知道現(xiàn)在數(shù)據(jù)是核心資產(chǎn),而數(shù)據(jù)基本上是存儲(chǔ)在數(shù)據(jù)庫(kù)中的。因此,保護(hù)數(shù)據(jù)庫(kù)就成為了保護(hù)數(shù)據(jù)的重要環(huán)節(jié)。下面將就以下五類數(shù)據(jù)庫(kù)安全威脅一一解讀。

數(shù)據(jù)庫(kù)安全威脅 1 - 濫用過(guò)高權(quán)限

當(dāng)用戶(或應(yīng)用程序)被授予超出了其工作職能所需的數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限時(shí),這些權(quán)限可能會(huì)被惡意濫用。例如,一個(gè)大學(xué)管理員在工作中只需要能夠更改學(xué)生的聯(lián)系信息,不過(guò)他可能會(huì)利用過(guò)高的數(shù)據(jù)庫(kù)更新權(quán)限來(lái)更改分?jǐn)?shù)。

數(shù)據(jù)庫(kù)安全威脅 2 - 濫用合法權(quán)

用戶還可能將合法的數(shù)據(jù)庫(kù)權(quán)限用于未經(jīng)授權(quán)的目的。假設(shè)一個(gè)惡意的醫(yī)務(wù)人員擁有可以通過(guò)自定義 Web 應(yīng)用程序查看單個(gè)患者病歷的權(quán)限。通常情況下,該 Web應(yīng)用程序的結(jié)構(gòu)限制用戶只能查看單個(gè)患者的病史,即無(wú)法同時(shí)查看多個(gè)患者的病歷并且不允許復(fù)制電子副本。但是,惡意的醫(yī)務(wù)人員可以通過(guò)使用其他客戶端(如MS-Excel)連接到數(shù)據(jù)庫(kù),來(lái)規(guī)避這些限制。通過(guò)使用 MS-Excel 以及合法的登錄憑據(jù),該醫(yī)務(wù)人員就可以檢索和保存所有患者的病歷。

這種私自復(fù)制患者病歷數(shù)據(jù)庫(kù)的副本的做法不可能符合任何醫(yī)療組織的患者數(shù)據(jù)保護(hù)策略。要考慮兩點(diǎn)風(fēng)險(xiǎn)。第一點(diǎn)是惡意的醫(yī)務(wù)人員會(huì)將患者病歷用于金錢交易。第二點(diǎn)可能更為常見(jiàn),即員工由于疏忽將檢索到的大量信息存儲(chǔ)在自己的客戶端計(jì)算機(jī)上,用于合法工作目的。一旦數(shù)據(jù)存在于終端計(jì)算機(jī)上,就可能成為特洛伊木馬程序以及筆記本電腦盜竊等的攻擊目標(biāo)。

數(shù)據(jù)庫(kù)安全威脅 3 - 權(quán)限提升

攻擊者可以利用數(shù)據(jù)庫(kù)平臺(tái)軟件的漏洞將普通用戶的權(quán)限轉(zhuǎn)換為管理員權(quán)限。漏洞可以在存儲(chǔ)過(guò)程、內(nèi)置函數(shù)、協(xié)議實(shí)現(xiàn)甚至是 SQL語(yǔ)句中找到。例如,一個(gè)金融機(jī)構(gòu)的軟件開(kāi)發(fā)人員可以利用有漏洞的函數(shù)來(lái)獲得數(shù)據(jù)庫(kù)管理權(quán)限。使用管理權(quán)限,惡意的開(kāi)發(fā)人員可以禁用審計(jì)機(jī)制、開(kāi)設(shè)偽造的帳戶以及轉(zhuǎn)帳等。

數(shù)據(jù)庫(kù)安全威脅 4 - 平臺(tái)漏洞

底層操作系統(tǒng)(Windows 2000、UNIX 等)中的漏洞和安裝在數(shù)據(jù)庫(kù)服務(wù)器上的其他服務(wù)中的漏洞可能導(dǎo)致未經(jīng)授權(quán)的訪問(wèn)、數(shù)據(jù)破壞或拒絕服務(wù)。例如,“沖擊波病毒”就是利用了Windows 2000的漏洞為拒絕服務(wù)攻擊創(chuàng)造條件。

數(shù)據(jù)庫(kù)安全威脅 5 - SQL 注入

在SQL注入攻擊中,入侵者通常將未經(jīng)授權(quán)的數(shù)據(jù)庫(kù)語(yǔ)句插入(或“注入”)到有漏洞的SQL數(shù)據(jù)信道中。通常情況下,攻擊所針對(duì)的數(shù)據(jù)信道包括存儲(chǔ)過(guò)程和Web應(yīng)用程序輸入?yún)?shù)。然后,這些注入的語(yǔ)句被傳遞到數(shù)據(jù)庫(kù)中并在數(shù)據(jù)庫(kù)中執(zhí)行。使用SQL注入,攻擊者可以不受限制地訪問(wèn)整個(gè)數(shù)據(jù)庫(kù)。

防止SQL注入將以下三個(gè)技術(shù)結(jié)合使用可以有效地抵御SQL注入:入侵防御系統(tǒng)(IPS)、查詢級(jí)別訪問(wèn)控制(請(qǐng)參閱“濫用過(guò)高權(quán)限”)和事件相關(guān)。IPS可以識(shí)別有漏洞的存儲(chǔ)過(guò)程或SQL注入字符串。但是,單獨(dú)使用IPS并不可靠, 因?yàn)镾QL注入字符串很容易發(fā)生誤報(bào)。如果只依賴IPS,安全管理人員會(huì)發(fā)現(xiàn)大量“可能的”SQL注入警報(bào),被搞得焦頭爛額。

數(shù)據(jù)庫(kù)安全威脅的分析就為大家介紹完了。希望大家已經(jīng)掌握。

【編輯推薦】

  1. 網(wǎng)絡(luò)安全關(guān)鍵技術(shù)
  2. 給你預(yù)防病毒的八個(gè)忠告
  3. 六大網(wǎng)絡(luò)安全威脅發(fā)展趨勢(shì)
  4. 企業(yè)用戶防御網(wǎng)絡(luò)威脅十要素
責(zé)任編輯:佚名 來(lái)源: 中國(guó)IT實(shí)驗(yàn)室
數(shù)據(jù)庫(kù)
相關(guān)推薦

2011-03-31 10:30:00

2011-05-24 10:33:48

2010-08-16 14:21:13

2009-10-29 17:03:42

2019-11-12 08:11:40

數(shù)據(jù)庫(kù)安全漏洞網(wǎng)絡(luò)攻擊

2021-01-04 10:24:22

物聯(lián)網(wǎng)安全數(shù)據(jù)庫(kù)隱私保護(hù)

2021-02-19 11:10:10

數(shù)據(jù)庫(kù)

2013-03-07 10:09:15

2021-02-03 09:34:28

潮數(shù)

2023-10-04 11:03:30

Java技術(shù)

2021-09-22 08:00:00

安全漏洞數(shù)據(jù)

2011-03-10 13:24:26

2011-03-07 15:54:30

2015-10-30 15:05:08

Sybase數(shù)據(jù)庫(kù)安全

2010-09-17 20:40:09

2021-04-16 10:31:56

數(shù)據(jù)數(shù)據(jù)安全個(gè)人信息安全

2023-08-28 16:22:06

2012-11-19 16:56:31

2011-12-28 10:03:07

2015-06-10 10:20:58

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)