網(wǎng)絡(luò)數(shù)據(jù)庫主要的應(yīng)用包含網(wǎng)站����、企業(yè)信息化系統(tǒng)、政府政務(wù)系統(tǒng)��、電子商務(wù)等�����。通過Web瀏覽器便可完成對數(shù)據(jù)庫數(shù)據(jù)的常用操作�,簡化了用戶對數(shù)據(jù)庫的操作模式。但本質(zhì)上信息架構(gòu)還是屬于瀏覽器����、服務(wù)端、數(shù)據(jù)庫的模式�。在這種架構(gòu)中,數(shù)據(jù)庫直接部署在公網(wǎng)服務(wù)器上�����,給外部人員入侵?jǐn)?shù)據(jù)庫帶來了便利��,這也就使網(wǎng)絡(luò)中的數(shù)據(jù)庫面臨更高的數(shù)據(jù)庫安全威脅���。
外部入侵網(wǎng)絡(luò)數(shù)據(jù)庫主要有兩種方式:
1.服務(wù)器上泄露出數(shù)據(jù)庫鏈接信息����,被入侵者掌握數(shù)據(jù)庫賬戶和密碼。
2.用戶輸入值未經(jīng)嚴(yán)格過濾輸入的語句可以被拼接成其他SQL語句形成sql注入����。
第一種入侵方式多是服務(wù)器存在遍歷目錄安全隱患或源碼被下載所致。在服務(wù)器端需要通過安全配置和權(quán)限設(shè)置防止惡意用戶下載數(shù)據(jù)庫配置文件或訪問服務(wù)器目錄�����。在數(shù)據(jù)庫端也可以加強(qiáng)防護(hù)���。在數(shù)據(jù)庫和服務(wù)端之間加入帶有密碼橋功能的數(shù)據(jù)庫防火墻����。密碼橋的功能可以實(shí)現(xiàn)服務(wù)器端記錄的數(shù)據(jù)庫賬號和密碼本身是錯(cuò)的�,但通過密碼橋的轉(zhuǎn)化后可以變成正確的。以保證數(shù)據(jù)庫的真實(shí)密碼不會在服務(wù)器端被泄露�����。從而保證數(shù)據(jù)庫的安��。
第二種入侵方式服務(wù)器端沒有正確的過濾攻擊者在應(yīng)用端輸入提交的“特殊數(shù)據(jù)”�。當(dāng)“特殊數(shù)據(jù)”流到存儲層的數(shù)據(jù)庫時(shí)會造成SQL注入:形如 拼接字符串 union select user, pwd, 1, 2, 3, 4 from users—達(dá)到改變SQL意圖目的,獲取關(guān)鍵信息����。針對這種攻擊方式,可以在HTTP層添加WAF來進(jìn)行字符串過濾���。在數(shù)據(jù)庫端���,可以通過數(shù)據(jù)庫防火墻進(jìn)行輔助防護(hù)。數(shù)據(jù)庫防火墻可以阻止用戶自定義的非法訪問����。比如上面的利用sql注入想要讀出users表中的用戶名和密碼。數(shù)據(jù)庫防火墻可以限定服務(wù)端連接數(shù)據(jù)庫賬號的權(quán)限�。確保賬號屬于最小化權(quán)限,防止敏感信息被泄露���。同時(shí)也可以通過數(shù)據(jù)庫加密產(chǎn)品對數(shù)據(jù)庫中的敏感信息進(jìn)行加密��,防止敏感信息泄露���。
網(wǎng)絡(luò)中的數(shù)據(jù)庫存儲有大量的用戶敏感信息�����,例如用戶信息���、交易信息等,所以網(wǎng)絡(luò)中的數(shù)據(jù)庫安全同樣應(yīng)該引起廠商的重視���。
產(chǎn)品咨詢:4000 258 365 
