網(wǎng)絡(luò)數(shù)據(jù)庫(kù)主要的應(yīng)用包含網(wǎng)站、企業(yè)信息化系統(tǒng)�����、政府政務(wù)系統(tǒng)���、電子商務(wù)等��。通過(guò)Web瀏覽器便可完成對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的常用操作����,簡(jiǎn)化了用戶對(duì)數(shù)據(jù)庫(kù)的操作模式��。但本質(zhì)上信息架構(gòu)還是屬于瀏覽器��、服務(wù)端、數(shù)據(jù)庫(kù)的模式��。在這種架構(gòu)中,數(shù)據(jù)庫(kù)直接部署在公網(wǎng)服務(wù)器上�,給外部人員入侵?jǐn)?shù)據(jù)庫(kù)帶來(lái)了便利�����,這也就使網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)面臨更高的數(shù)據(jù)庫(kù)安全威脅。
外部入侵網(wǎng)絡(luò)數(shù)據(jù)庫(kù)主要有兩種方式:
1.服務(wù)器上泄露出數(shù)據(jù)庫(kù)鏈接信息����,被入侵者掌握數(shù)據(jù)庫(kù)賬戶和密碼���。
2.用戶輸入值未經(jīng)嚴(yán)格過(guò)濾輸入的語(yǔ)句可以被拼接成其他SQL語(yǔ)句形成sql注入。
第一種入侵方式多是服務(wù)器存在遍歷目錄安全隱患或源碼被下載所致���。在服務(wù)器端需要通過(guò)安全配置和權(quán)限設(shè)置防止惡意用戶下載數(shù)據(jù)庫(kù)配置文件或訪問(wèn)服務(wù)器目錄。在數(shù)據(jù)庫(kù)端也可以加強(qiáng)防護(hù)��。在數(shù)據(jù)庫(kù)和服務(wù)端之間加入帶有密碼橋功能的數(shù)據(jù)庫(kù)防火墻。密碼橋的功能可以實(shí)現(xiàn)服務(wù)器端記錄的數(shù)據(jù)庫(kù)賬號(hào)和密碼本身是錯(cuò)的�����,但通過(guò)密碼橋的轉(zhuǎn)化后可以變成正確的��。以保證數(shù)據(jù)庫(kù)的真實(shí)密碼不會(huì)在服務(wù)器端被泄露�。從而保證數(shù)據(jù)庫(kù)的安����。
第二種入侵方式服務(wù)器端沒(méi)有正確的過(guò)濾攻擊者在應(yīng)用端輸入提交的“特殊數(shù)據(jù)”。當(dāng)“特殊數(shù)據(jù)”流到存儲(chǔ)層的數(shù)據(jù)庫(kù)時(shí)會(huì)造成SQL注入:形如 拼接字符串 union select user, pwd, 1, 2, 3, 4 from users—達(dá)到改變SQL意圖目的���,獲取關(guān)鍵信息���。針對(duì)這種攻擊方式���,可以在HTTP層添加WAF來(lái)進(jìn)行字符串過(guò)濾。在數(shù)據(jù)庫(kù)端�����,可以通過(guò)數(shù)據(jù)庫(kù)防火墻進(jìn)行輔助防護(hù)���。數(shù)據(jù)庫(kù)防火墻可以阻止用戶自定義的非法訪問(wèn)����。比如上面的利用sql注入想要讀出users表中的用戶名和密碼����。數(shù)據(jù)庫(kù)防火墻可以限定服務(wù)端連接數(shù)據(jù)庫(kù)賬號(hào)的權(quán)限�。確保賬號(hào)屬于最小化權(quán)限,防止敏感信息被泄露�。同時(shí)也可以通過(guò)數(shù)據(jù)庫(kù)加密產(chǎn)品對(duì)數(shù)據(jù)庫(kù)中的敏感信息進(jìn)行加密,防止敏感信息泄露���。
網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)存儲(chǔ)有大量的用戶敏感信息���,例如用戶信息��、交易信息等��,所以網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)安全同樣應(yīng)該引起廠商的重視���。
產(chǎn)品咨詢:4000 258 365 
