1概述
数据库中保存的数据涉及各类账号、密码、个人隐私、安全信息等敏感信息,核心数据是企业的命脉。通过建立完善的信息安全系统,保护企业核心数据尤其是企业商业机密,防止从内、外部泄密,已经成为当前众多企业的共识。
随着信息化建设的不断发展,IT安全建设的重点,已经从传统的网络安全、桌面安全、系统安全、应用安全和身份认证管理安全等领域,转向了如何加强IT系统核心的数据库安全防范。
数据库成为企业信息资产的同时, 也被越来越多的不良之徒所觊觎。数据被违规访问、删、改、复制和缺乏审计的安全问题, 已经成为IT系统最大的威胁。根据IOUG 和Verizon Business的最新市场调查,2010 年全球造成严重后果的IT安全事件中92%是针对数据库的侵入,89%的黑客采用了SQL注入技术,84%的外部攻击利用了管理不善的数据库用户权限。
那么,如何才能更有效地保护数据库不受侵害?如何解决非法访问的监控与审计?如何达到《信息安全等级保护条例》的信息安全合规要求?怎样才能满足中国SOX《企业内部控制基本规范》的规定?
本文从数据安全角度简述数据库安全的管理,从逻辑安全与物理安全两个方面进行论述。
2安全状况分析
调查结果显示92%的记录源自被侵入的数据库服务器,也就是说数据库安全是确保数据安全的关键。
-- Databases and file servers, both repositories of so much valuable information, are also targeted regularly.
近年一些著名的泄密门:
数据泄漏的途径离不开以下三个层面:
存储层:直接盗走数据文件或备份文件,异地还原后得到数据;
数据访问:通过人为获取DBA等高权限用户的口令,或通过权限提升等漏洞得到一个高权限用户身份,进行数据窃取;
应用层:破解或通过工作便利获取应用中的数据库用户口令,绕开业务系统直接访问所有数据(因业务系统中往往对操作范围进行限定,只可获得局部数据)。
数据库的安全漏洞与威胁类别繁多,入侵数据库的常见手段不下几十种,攻击者最常使用的有:
通过暴力破解数据库用户口令,操纵数据库
利用缺省口令的漏洞访问数据库
利用权限提升的漏洞得到高权限用户身份,控制数据库
利用PL/SQL注入等,获取访问权限提升,操纵数据库
利用管理漏洞,获知DBA等合法用户名的口令,操纵数据库
入侵到数据库服务器主机,拷贝数据文件、或备份文件
