網(wǎng)絡(luò)數(shù)據(jù)庫主要的應(yīng)用包含網(wǎng)站�、企業(yè)信息化系統(tǒng)����、政府政務(wù)系統(tǒng)、電子商務(wù)等���。通過Web瀏覽器便可完成對數(shù)據(jù)庫數(shù)據(jù)的常用操作�,簡化了用戶對數(shù)據(jù)庫的操作模式�����。但本質(zhì)上信息架構(gòu)還是屬于瀏覽器����、服務(wù)端、數(shù)據(jù)庫的模式��。在這種架構(gòu)中���,數(shù)據(jù)庫直接部署在公網(wǎng)服務(wù)器上�,給外部人員入侵?jǐn)?shù)據(jù)庫帶來了便利,這也就使網(wǎng)絡(luò)中的數(shù)據(jù)庫面臨更高的數(shù)據(jù)庫安全威脅����。
外部入侵網(wǎng)絡(luò)數(shù)據(jù)庫主要有兩種方式:
1.服務(wù)器上泄露出數(shù)據(jù)庫鏈接信息,被入侵者掌握數(shù)據(jù)庫賬戶和密碼���。
2.用戶輸入值未經(jīng)嚴(yán)格過濾輸入的語句可以被拼接成其他SQL語句形成sql注入��。
第一種入侵方式多是服務(wù)器存在遍歷目錄安全隱患或源碼被下載所致���。在服務(wù)器端需要通過安全配置和權(quán)限設(shè)置防止惡意用戶下載數(shù)據(jù)庫配置文件或訪問服務(wù)器目錄。在數(shù)據(jù)庫端也可以加強(qiáng)防護(hù)�。在數(shù)據(jù)庫和服務(wù)端之間加入帶有密碼橋功能的數(shù)據(jù)庫防火墻。密碼橋的功能可以實現(xiàn)服務(wù)器端記錄的數(shù)據(jù)庫賬號和密碼本身是錯的�,但通過密碼橋的轉(zhuǎn)化后可以變成正確的。以保證數(shù)據(jù)庫的真實密碼不會在服務(wù)器端被泄露����。從而保證數(shù)據(jù)庫的安。
第二種入侵方式服務(wù)器端沒有正確的過濾攻擊者在應(yīng)用端輸入提交的“特殊數(shù)據(jù)”���。當(dāng)“特殊數(shù)據(jù)”流到存儲層的數(shù)據(jù)庫時會造成SQL注入:形如 拼接字符串 union select user, pwd, 1, 2, 3, 4 from users—達(dá)到改變SQL意圖目的�,獲取關(guān)鍵信息�。針對這種攻擊方式��,可以在HTTP層添加WAF來進(jìn)行字符串過濾��。在數(shù)據(jù)庫端��,可以通過數(shù)據(jù)庫防火墻進(jìn)行輔助防護(hù)。數(shù)據(jù)庫防火墻可以阻止用戶自定義的非法訪問���。比如上面的利用sql注入想要讀出users表中的用戶名和密碼����。數(shù)據(jù)庫防火墻可以限定服務(wù)端連接數(shù)據(jù)庫賬號的權(quán)限����。確保賬號屬于最小化權(quán)限,防止敏感信息被泄露�。同時也可以通過數(shù)據(jù)庫加密產(chǎn)品對數(shù)據(jù)庫中的敏感信息進(jìn)行加密,防止敏感信息泄露����。
網(wǎng)絡(luò)中的數(shù)據(jù)庫存儲有大量的用戶敏感信息,例如用戶信息����、交易信息等�����,所以網(wǎng)絡(luò)中的數(shù)據(jù)庫安全同樣應(yīng)該引起廠商的重視����。
產(chǎn)品咨詢:4000 258 365 
