| |
|
<![CDATA[<menu id="guoca"></menu>]]>|
|
<![CDATA[<xmp id="guoca">]]>|
|
|
| |
|
|
|
| <![CDATA[<nav id="guoca"><code id="guoca"></code></nav>]]>
|
|
| |
| |
| <![CDATA[<nav id="guoca"><code id="guoca"></code></nav>]]>
數據庫安全威脅有哪些
點贊0
收藏0
發現錯別字
舉報
1年前 提問
亚洲 欧美 自拍 唯美 另类
數據庫系統10個最常見的安全威脅及對應辦法:
濫用過高權限
當用戶被授予超出了其工作職能所需的數據庫訪問權限時,這些權限可能會被惡意濫用。例如,在給業務系統分配數據庫賬號時,直接分配了DBA或者其他超級權限,導致知曉此賬號密碼的管理員或業務開發人員,可以通過此賬號操作或查詢本來不屬于他使用的數據。原因很簡單,數據庫管理員沒有為每個用戶定義細化的訪問權限控制機制,從而使給定的用戶擁有了過高的權限。因此,此用戶就被授予了遠遠超出其特定工作需要的訪問權限。
對應辦法:防止濫用過高權限-細粒度訪問控制
應對過高權限的解決辦法是進行細粒度的訪問控制,將數據庫的權限控制限制到細粒度的SQL操作和訪問對象。大部分的數據庫管理軟件實現了某種程度的細粒度的訪問控制,但是這對于大部分DBA來說,為大量的數據庫用戶定義細粒度的權限很困難,并且要隨著業務的變化進行更新。因此,大部分的單位的情況是,數據庫賬號使用了一組過高的通用型訪問權限。實際上,各單位客戶都需要一種更加直觀的細粒度權限控制方式。
濫用合法權限
用戶還可能將合法的數據庫權限用戶未經授權的目的。假設一個的醫務人員擁有可以通過WEB應用查看藥方使用統計信息的權限,正常情況下,他需要定期進行數據統計,從而掌握整個科室的用藥信息。但是實際情況下,可能此醫務人員的業務系統賬號,其他同事也知道,那就存在數據被非法統方的可能。目前濫用合法權限是一種較難控制的行為。
對應辦法:防止濫用合法權限-了解數據庫訪問的場景
應對濫用合法權限的解決辦法是通過調查清楚客戶端IP、時間、賬號、統計對象等信息,可以識別以可疑方式使用合法數據庫訪問權限的情況。這種情況,一般通過數據庫系統本身不易配置。
權限提升
黑客可利用數據庫軟件的漏洞將普通賬號的權限轉換為管理員權限,從而給數據庫數據帶來泄漏的危險。
對應辦法:防止權限提示-高危操作控制
只要將普通賬號的操作權限限定其只能使用有限的數據、操作有限的命令,而不能操作系統表、不能操作系統對象、不能執行提權操作,就可以做到防止普通賬號的權限被提權。
數據庫漏洞
目前,大部分常用的數據庫都有成百上千的漏洞,數據庫需要經常打補丁,才能防止漏洞被利用,但是由于業務系統歷史性及重要程度,有大量的業務系統數據庫并未進行正常打補丁工作。黑客就可能利用數據庫軟件的漏洞將普通賬號的權限轉換為管理員權限,從而給數據庫數據帶來泄漏的危險。
對應辦法:防止權限提示-數據庫漏洞攻擊防御
很明顯,對于數據庫漏洞問題,如果DBA能夠與數據庫廠商同步,更新按照數據庫補丁的話,數據庫被攻擊的可能性將降到最低。
SQL注入
在SQL注入攻擊中,入侵者通常將未經授權的數據庫語句注入到有漏洞的通信中。通常情況下,攻擊所針對的數據通信是WEB應用程序輸入參數或者是存儲過程。然后這些注入的語句被傳到數據庫中并執行。利用SQL注入,黑客可以不受限制地訪問數據庫內容。
對應辦法:防止SQL注入-SQL注入防御和業務系統代碼修復
如果業務系統代碼、存儲過程經過嚴格代碼安全檢查,基本可避免SQL注入攻擊。但是,大部分的應用由于開發人員技術水平不一,并未進行嚴格的代碼檢查,就會存在SQL注入的可能性。
審計記錄不足
自動記錄對數據庫操作行為是目前數據庫安全管理不可分割的一部分。如果數據庫審計不足,則單位在很多級別上面臨嚴重風險:比如合規性風險、事后審計檢查等。目前,通常情況下,都會采用第三方獨立數據庫審計設備,進行數據庫操作行為全訪問審計。
對應辦法:防止審計記錄不足-采用第三方獨立數據庫審計設備
使用第三方獨立數據庫審計設備均可防止數據庫審計記錄不足的問題。
拒絕服務
拒絕服務攻擊背后的動機是多種多樣的。但是無論是由什么原因造成,拒絕服務攻擊對于很多組織來說都是嚴峻的威脅。
對應辦法:防止拒絕服務-抗DDOS
防止拒絕服務攻擊需要在多個級別進行保護。網絡、業務系統和數據庫級別的保護都是很有必要的,最常見的防護手段是采用DDOS攻擊防御類產品。
數據庫通信協議漏洞
在所有數據庫供應商的數據庫通信協議中,發現了越來越多的安全漏洞。針對這些漏洞的欺騙性活動包括未經授權的數據訪問、數據破壞等。
對應辦法:防止數據庫通信協議漏洞-數據庫漏洞攻擊防御
對于數據庫通信協議漏洞問題,如果DBA能夠與數據庫廠商同步,更新按照數據庫補丁的話,數據庫被攻擊的可能性將降到最低。但實際情況是,絕大部分都不怎么打補丁。
身份驗證不足
如果身份驗證機制薄弱,可以使攻擊者通過暴力攻擊或以其他方式獲得登錄驗證信息,從而獲得合法的數據庫用戶的身份。攻擊手段多種多樣,比如暴力破解、社會工程、直接竊取(抄寫、偷看、鍵盤記錄等)。
對應辦法:防止身份驗證攻擊-身份驗證保護
可通過較強實用的身份驗證方式和策略進行保護,比如實施強密碼策略(最小長度、字符多樣化等)。也可以采用第三方墻身份驗證手段,比如可以使用雙因素認證、堡壘主機等。
備份數據暴露
通常情況下,備份數據庫存儲介質對于攻擊者是毫無防護措施的。因此,在若干起著名的安全破壞活動中,比如CSDN賬號泄露、開房信息泄露等。都是由于備份的歷史庫被竊取。
對應辦法:防止備份數據暴露-備份服務器安全和數據庫加密
首先保證備份的數據是備份在受到嚴格保護(比如采用防火墻、IPS、防病毒等)的服務器上。另外如果要提高更進一步的安全性,即使授權管理員通過備份服務器獲取到數據庫備份,也不應該能夠讀取數據。那么數據庫備份應該使用數據庫透明加解密設備實施加密存儲。
回答所涉及的環境:聯想天逸510S、Windows 10。