自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

認(rèn)識數(shù)據(jù)庫安全威脅 保護(hù)數(shù)據(jù)安全(1)

作者:佚名
安全 數(shù)據(jù)安全
在考慮購買第三方的專業(yè)數(shù)據(jù)庫保護(hù)產(chǎn)品之前,有很多工作是可以現(xiàn)在就開始做的,尤其是對于那些數(shù)據(jù)管理員(DBA)而言。學(xué)習(xí)一些基本的數(shù)據(jù)庫安全知識對他們很有幫助。本文就講述了其中一些要點。

數(shù)據(jù)庫安全威脅 1 - 審計記錄不足

自動記錄所有敏感的和/或異常的數(shù)據(jù)庫事務(wù)應(yīng)該是所有數(shù)據(jù)庫部署基礎(chǔ)的一部分。如果數(shù)據(jù)庫審計策略不足,則組織將在很多級別上面臨嚴(yán)重風(fēng)險。

數(shù)據(jù)庫安全威脅 2 - 拒絕服務(wù)

拒絕服務(wù) (DOS)是一個寬泛的攻擊類別,在此攻擊中正常用戶對網(wǎng)絡(luò)應(yīng)用程序或數(shù)據(jù)的訪問被拒絕??梢酝ㄟ^多種技巧為拒絕服務(wù) (DOS)攻擊創(chuàng)造條件,其中很多都與上文提到的漏洞有關(guān)。例如,可以利用數(shù)據(jù)庫平臺漏洞來制造拒絕服務(wù)攻擊,從而使服務(wù)器崩潰。其他常見的拒絕服務(wù)攻擊技巧包括數(shù)據(jù)破壞、網(wǎng)絡(luò)泛洪和服務(wù)器資源過載(內(nèi)存、CPU 等)。資源過載在數(shù)據(jù)庫環(huán)境中尤為普遍。

數(shù)據(jù)庫安全威脅 3 - 數(shù)據(jù)庫通信協(xié)議漏洞

在所有數(shù)據(jù)庫供應(yīng)商的數(shù)據(jù)庫通信協(xié)議中,發(fā)現(xiàn)了越來越多的安全漏洞。在兩個最新的 IBMDB2 Fix Pack 中,七個安全修復(fù)程序中有四個是針對協(xié)議漏洞1。同樣地,最新的 Oracle 季度補丁程序所修復(fù)的 23個數(shù)據(jù)庫漏洞中有 11 個與協(xié)議有關(guān)。針對這些漏洞的欺騙性活動包括未經(jīng)授權(quán)的數(shù)據(jù)訪問、數(shù)據(jù)破壞以及拒絕服務(wù)。例如, SQL Slammer2蠕蟲就是利用了 Microsoft SQL Server協(xié)議中的漏洞實施拒絕服務(wù)攻擊。更糟糕的是,由于自身數(shù)據(jù)庫審計機(jī)制不審計協(xié)議操作,所以在自身審計記錄中不存在這些欺騙性活動的記錄。

數(shù)據(jù)庫安全威脅 4- 身份驗證不足

 薄弱的身份驗證方案可以使攻擊者竊取或以其他方法獲得登錄憑據(jù),從而獲取合法的數(shù)據(jù)庫用戶的身份。攻擊者可以采取很多策略來獲取憑據(jù)。

 暴力- 攻擊者不斷地輸入用戶名/密碼組合,直到找到可以登錄的一組。暴力過程可能是靠猜測,也可能是系統(tǒng)地枚舉可能的用戶名/密碼組合。通常,攻擊者會使用自動化程序來加快暴力過程的速度。

 社會工程– 在這個方案中,攻擊者利用人天生容易相信別人的傾向來獲取他人的信任,從而獲得其登錄憑據(jù)。例如,攻擊者可能在電話中偽裝成一名 IT 經(jīng)理,以“系統(tǒng)維護(hù)”為由要求提供登錄憑據(jù)。

 直接竊取憑據(jù)– 攻擊者可能通過抄寫即時貼上的內(nèi)容或復(fù)制密碼文件來竊取登錄憑據(jù)。

數(shù)據(jù)庫安全威脅 5 - 備份數(shù)據(jù)暴露

經(jīng)常情況下,備份數(shù)據(jù)庫存儲介質(zhì)對于攻擊者是毫無防護(hù)措施的。因此,在若干起著名的安全破壞活動中,都是數(shù)據(jù)庫備份磁帶和硬盤被盜。防止備份數(shù)據(jù)暴露所有數(shù)據(jù)庫備份都應(yīng)加密。實際上,某些供應(yīng)商已經(jīng)建議在未來的 DBMS產(chǎn)品中不應(yīng)支持創(chuàng)建未加密的備份。建議經(jīng)常對聯(lián)機(jī)的生產(chǎn)數(shù)據(jù)庫信息進(jìn)行加密,但是由于性能問題和密鑰管理不善問題,這一加密方法通常是不現(xiàn)實的,并且一般被公認(rèn)為是上文介紹的細(xì)化的權(quán)限控制的不理想的替代方法。

至于對策,有的其實由DBA通過一些配置和加固就可以DIY,當(dāng)然,有的還需要考慮引入第三方的產(chǎn)品,例如對于提權(quán)行為、濫用合法權(quán)限行為、SQL注入行為的判定。在以后,我還會更多地談及數(shù)據(jù)庫審計的話題。

數(shù)據(jù)庫的安全問題是個很嚴(yán)重的話題,需要每一位學(xué)者認(rèn)真對待。

【編輯推薦】

  1. 網(wǎng)絡(luò)安全關(guān)鍵技術(shù)
  2. 給你預(yù)防病毒的八個忠告
  3. 六大網(wǎng)絡(luò)安全威脅發(fā)展趨勢
  4. 企業(yè)用戶防御網(wǎng)絡(luò)威脅十要素
  5. 認(rèn)識數(shù)據(jù)庫安全威脅 保護(hù)數(shù)據(jù)安全(1)
責(zé)任編輯:佚名 來源: 中國IT實驗室
數(shù)據(jù)庫
相關(guān)推薦

2011-03-31 10:24:40

2011-05-24 10:33:48

2010-08-16 14:21:13

2009-10-29 17:03:42

2019-11-12 08:11:40

數(shù)據(jù)庫安全漏洞網(wǎng)絡(luò)攻擊

2021-01-04 10:24:22

物聯(lián)網(wǎng)安全數(shù)據(jù)庫隱私保護(hù)

2021-02-19 11:10:10

數(shù)據(jù)庫

2013-03-07 10:09:15

2021-02-03 09:34:28

潮數(shù)

2023-10-04 11:03:30

Java技術(shù)

2021-09-22 08:00:00

安全漏洞數(shù)據(jù)

2011-03-10 13:24:26

2011-03-07 15:54:30

2015-10-30 15:05:08

Sybase數(shù)據(jù)庫安全

2010-09-17 20:40:09

2021-04-16 10:31:56

數(shù)據(jù)數(shù)據(jù)安全個人信息安全

2023-08-28 16:22:06

2012-11-19 16:56:31

2011-12-28 10:03:07

2015-06-10 10:20:58

點贊
收藏

51CTO技術(shù)棧公眾號