古語有云:未不知攻�����,焉知防�。這句話放到網(wǎng)站的數(shù)據(jù)庫安全工作中,同樣適用�����。要想做好網(wǎng)站的數(shù)據(jù)庫安全防護工作��,我們首先就要了解網(wǎng)絡(luò)上入侵數(shù)據(jù)庫的手段有哪些����。
從網(wǎng)絡(luò)上入侵網(wǎng)站數(shù)據(jù)庫主要有兩種方式:
1.網(wǎng)站上泄露出數(shù)據(jù)庫鏈接信息���,被入侵者掌握數(shù)據(jù)庫賬戶和密碼。
2.用戶輸入值未經(jīng)嚴格過濾輸入的語句可以被拼接成其他SQL語句�����,從而形成sql注入���。
第一種入侵方式多是WEB存在遍歷目錄安全隱患或源碼被下載所致���。這種攻擊的方式的防護手段,主要是在WEB層面通過安全配置和權(quán)限設(shè)置防止惡意用戶下載數(shù)據(jù)庫配置文件或訪問WEB目錄�����。其次可以在數(shù)據(jù)庫處加強防護��,例如在數(shù)據(jù)庫和WEB服務(wù)之間加入帶有密碼橋功能的數(shù)據(jù)庫防火墻�����,密碼橋的功能可以實現(xiàn)����,Web端記錄的數(shù)據(jù)庫賬號和密碼本身是錯的�,但通過密碼橋的轉(zhuǎn)化后變成正確的�,從而保證數(shù)據(jù)庫的真實密碼不會在WEB段被泄露。
第二種入侵方式主要是由于WEB端程序沒有正確的過濾黑客通過網(wǎng)站輸入提交的“特殊數(shù)據(jù)”��。當特殊數(shù)據(jù)流到存儲層的數(shù)據(jù)庫時會造成SQL注入:例如 拼接字符串 union select user, pwd, 1, 2, 3, 4 from users以達到改變SQL意圖目的�����,獲取關(guān)鍵信息�����。針對這種攻擊手段��,可以在WEB端通過添加WAF來進行字符串過濾��。在數(shù)據(jù)庫端�����,可以通過數(shù)據(jù)庫防火墻進行輔助防護���。數(shù)據(jù)庫防火墻可以阻止用戶自定義的非法訪問,比如上面的利用sql注入想要讀出users表中的用戶名和密碼�。同時數(shù)據(jù)庫防火墻還可以限定WEB端連接數(shù)據(jù)庫賬號的權(quán)限��,確保賬號屬于最小化權(quán)限�����,防止敏感信息被泄露���。
數(shù)據(jù)庫中核心數(shù)據(jù)還可以通過加密手段對敏感信息進行加固。這樣可以保證�,即便攻擊者獲取到數(shù)據(jù)庫最高權(quán)限或者拿到數(shù)據(jù)庫文件,在沒有權(quán)限的情況下���,也不能獲取到加密后的數(shù)據(jù)����。
DT時代數(shù)據(jù)帶來的價值越發(fā)巨大���,同時隨著云計算的發(fā)展�,使得更多的數(shù)據(jù)存儲在網(wǎng)絡(luò)間的數(shù)據(jù)庫中�����,網(wǎng)站的數(shù)據(jù)庫安全工作應(yīng)該引起網(wǎng)站維護人員的重視���,避免因為網(wǎng)絡(luò)攻擊的數(shù)據(jù)泄露為企業(yè)帶來的損失�。
產(chǎn)品咨詢:4000 258 365 
