4000-110-253
3分鍾了解十種侵入數(shù)據庫方法,防患未然早做(zuò)準備. 2019-05-15
随着互聯網的高(gāo)速發展,越來(lái)越多(duō)的企業搭乘着互聯網這班高(gāo)速列車(chē)使得(de)自己的企業發展的越來(lái)越好,越加壯大(dà)。随着業務量的增加,一個(gè)企業的數(shù)據庫壓力也随之而來(lái)。因此,數(shù)據庫也成為(wèi)對手或者黑(hēi)客的重點攻擊目标。因此,掌握他們的入侵途徑,從而加強防護,以做(zuò)到“防患于未然”變得(de)尤為(wèi)重要。
接下來(lái)本文将為(wèi)你(nǐ)列舉,數(shù)據庫中常見的十大(dà)安全性問題。
1. SQL的錯誤誘導語句
一段錯誤的誘導性的SQL執行(xíng)語句,可(kě)能會(huì)使得(de)應用的服務器(qì)來(lái)執行(xíng)命令,從而破壞了數(shù)據庫安全。鑒于這一問題,最好的辦法就是使用防火(huǒ)牆來(lái)保護數(shù)據庫網絡,防止被侵入。
2. 密鑰管理(lǐ)不當
密鑰是一個(gè)系統的鑰匙,安全等級為(wèi)重中之重。加密密鑰一般都是存儲在公司的磁盤驅動器(qì)上(shàng)面,當密鑰丢失時(shí),則你(nǐ)的公司系統就會(huì)遭受黑(hēi)客攻擊。
3. 企業的數(shù)據庫遭到盜竊
企業的數(shù)據庫通(tōng)常會(huì)遭受到兩方面的威脅,一個(gè)是來(lái)自于外部正大(dà)光明(míng)的攻擊,另一個(gè)就是,企業內(nèi)部出現了“內(nèi)鬼”,而将自己企業的數(shù)據庫盜竊,例如:前幾年攜程網站(zhàn)大(dà)範圍癱瘓,就有(yǒu)可(kě)能是內(nèi)鬼幹的事。而防止數(shù)據庫被盜竊,最好的辦法就是對數(shù)據庫進行(xíng)加密,嚴格性的保密。
4. 管理(lǐ)員和(hé)普通(tōng)用戶權限隔開(kāi)
将管理(lǐ)員和(hé)普通(tōng)用戶之間(jiān)的權限分開(kāi)管理(lǐ),這樣一來(lái)“內(nèi)鬼”想要盜取數(shù)據庫裏的數(shù)據就會(huì)面臨更多(duō)的挑戰難度。如果你(nǐ)可(kě)以限制(zhì)用戶賬戶的使用權限,那(nà)麽黑(hēi)客想要控制(zhì)整個(gè)數(shù)據庫就會(huì)有(yǒu)更大(dà)的難度等待挑戰。
5. 數(shù)據庫中的錯誤操作(zuò)行(xíng)為(wèi)
我們知道(dào)漏洞會(huì)經常導緻數(shù)據被黑(hēi)客攻擊或者是數(shù)據被删除,因此作(zuò)為(wèi)開(kāi)發人(rén)員的我們就得(de)時(shí)刻檢查數(shù)據庫中所存在的危險情況。因此,程序員要利用 追蹤信息/日志(zhì)來(lái)查詢和(hé)解決問題。
6. 數(shù)據意外洩露
因為(wèi)數(shù)據庫是連接網絡的,黑(hēi)客攻擊數(shù)據庫很(hěn)多(duō)都是通(tōng)過這些(xiē)網絡接口來(lái)進入的,因此使用SSL加密方法就變得(de)很(hěn)有(yǒu)必要了。
7. 搜索引擎優化不能解決一切問題
在實際工作(zuò)中,很(hěn)多(duō)公司看重的是搜索引擎對業務的提升有(yǒu)很(hěn)大(dà)的促進作(zuò)用。我們知道(dào)索引是可(kě)以提高(gāo)搜索效率,但(dàn)是也隻有(yǒu)對數(shù)據庫進行(xíng)排序的條件下,搜索引擎優化(SEO)才能對其産生(shēng)作(zuò)用。但(dàn)是這些(xiē)功能行(xíng)的測試可(kě)以提高(gāo)性能,但(dàn)測試不能夠預測數(shù)據庫将會(huì)發生(shēng)的一切問題。因此,在數(shù)據庫配套設施完全之後,對數(shù)據庫進行(xíng)一個(gè)全面的檢查,查出有(yǒu)哪些(xiē)利弊是很(hěn)有(yǒu)必要的。
8. 卸載不明(míng)應用程序
研究表明(míng),在這些(xiē)黑(hēi)客攻擊數(shù)據的案例中都有(yǒu)一個(gè)特性發生(shēng),那(nà)就是數(shù)據被濫用。比方說,黑(hēi)客可(kě)以借助電(diàn)腦(nǎo)中的其他應用來(lái)控制(zhì)的電(diàn)腦(nǎo),從而侵入你(nǐ)的數(shù)據庫中。因此,将電(diàn)腦(nǎo)中不必須的,不了解的應用工具卸載。
9. 系統中存在薄弱的地方
黑(hēi)客在攻擊數(shù)據庫系統的過程中,一般不會(huì)立馬就能掌控整個(gè)數(shù)據庫系統,他們通(tōng)常會(huì)挑選系統框架中薄弱的抵賴來(lái)進行(xíng)突破,攻擊,進而獲得(de)對整個(gè)數(shù)據庫系統的掌控。
10. 數(shù)據庫沒有(yǒu)有(yǒu)效的維護
相比我們很(hěn)多(duō)人(rén)在上(shàng)學的時(shí)候都看到過課本中說2003年,一個(gè)電(diàn)腦(nǎo)病毒在兩分鍾之內(nèi)迅速的侵占了全球90%的電(diàn)腦(nǎo),使全球3.12億的電(diàn)腦(nǎo)發生(shēng)癱瘓。這個(gè)叫做(zuò)“SQL Slammer” 的宏病毒就是通(tōng)過SQL Server數(shù)據庫存在的漏洞進行(xíng)阻斷服務攻擊1434端口并且在內(nèi)存中感染SQL Server,再通(tōng)過被感染的SQL Server 大(dà)量的感染的,從而造成SQL Server不能正常的工作(zuò)。從本案例中可(kě)以看出加強對數(shù)據庫的維護是多(duō)麽的重要的。因此,時(shí)刻加強自己公司數(shù)據的維護很(hěn)重要。
結論
數(shù)據庫屬于我們企業中很(hěn)核心的一部分,整個(gè)公司的商業可(kě)能都會(huì)存在于數(shù)據庫中。因而,維護好數(shù)據庫的安全是我們開(kāi)發人(rén)員不可(kě)推卸的責任。做(zuò)好上(shàng)述十大(dà)安全隐患防禦,将黑(hēi)客阻擋在家(jiā)門(mén)之外,維護好數(shù)據核心安全。
轉http://netsecurity.51cto.com/
