javaee论坛

普通会员

107198

帖子

0

回复

10

积分

楼主
发表于 2017-07-31 11:18:35 | 查看: 193 | 回复: 0

 1概述 

 

数据库中保存的数据涉及各类账号、密码、个人隐私、安全信息等敏感信息,核心数据是企业的命脉。通过建立完善的信息安全系统,保护企业核心数据尤其是企业商业机密,防止从内、外部泄密,已经成为当前众多企业的共识。

 

随着信息化建设的不断发展,IT安全建设的重点,已经从传统的网络安全、桌面安全、系统安全、应用安全和身份认证管理安全等领域,转向了如何加强IT系统核心的数据库安全防范。

 

数据库成为企业信息资产的同时, 也被越来越多的不良之徒所觊觎。数据被违规访问、删、改、复制和缺乏审计的安全问题, 已经成为IT系统最大的威胁。根据IOUG 和Verizon Business的最新市场调查,2010 年全球造成严重后果的IT安全事件中92%是针对数据库的侵入,89%的黑客采用了SQL注入技术,84%的外部攻击利用了管理不善的数据库用户权限。

 

那么,如何才能更有效地保护数据库不受侵害?如何解决非法访问的监控与审计?如何达到《信息安全等级保护条例》的信息安全合规要求?怎样才能满足中国SOX《企业内部控制基本规范》的规定?

 

本文从数据安全角度简述数据库安全的管理,从逻辑安全与物理安全两个方面进行论述。

 

2安全状况分析 

 

调查结果显示92%的记录源自被侵入的数据库服务器,也就是说数据库安全是确保数据安全的关键。

 

20160628034959160.jpg

 

-- Databases and file servers, both repositories of so much valuable information, are also targeted regularly.

 

近年一些著名的泄密门:

  • 省级电信公司的增值服务客户信息被竞争对手掌握

  • 某移动公司的充值卡数据被篡改、作案者卖卡获利380万

  • 某地社保核心参数被修改,导致当月所有缴费金额错误

  • 某地社保受益账户修改,诈领养老金事件

 

数据泄漏的途径离不开以下三个层面:

  • 存储层:直接盗走数据文件或备份文件,异地还原后得到数据;

  • 数据访问:通过人为获取DBA等高权限用户的口令,或通过权限提升等漏洞得到一个高权限用户身份,进行数据窃取;

  • 应用层:破解或通过工作便利获取应用中的数据库用户口令,绕开业务系统直接访问所有数据(因业务系统中往往对操作范围进行限定,只可获得局部数据)。

 

数据库的安全漏洞与威胁类别繁多,入侵数据库的常见手段不下几十种,攻击者最常使用的有:

  1. 通过暴力破解数据库用户口令,操纵数据库

  2. 利用缺省口令的漏洞访问数据库

  3. 利用权限提升的漏洞得到高权限用户身份,控制数据库

  4. 利用PL/SQL注入等,获取访问权限提升,操纵数据库

  5. 利用管理漏洞,获知DBA等合法用户名的口令,操纵数据库

  6. 入侵到数据库服务器主机,拷贝数据文件、或备份文件



您的帖子在2017-07-31 11:19:29被admin编辑
超级管理员"admin"于2017-07-31 11:19:40将帖子从“杂七杂八”板块“杂七杂八”主题移动到“数据库知识”板块“oracle”主题
您需要登录后才可以回帖 登录 | 立即注册

技术支持 JAVAEE V2.0 © 2016-2017