數(shù)據(jù)安全治理關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫(kù)脫敏技術(shù)詳解
數(shù)據(jù)安全治理之API監(jiān)測(cè)系統(tǒng) ,解決API接口安全問(wèn)題【安華金和】
新一代數(shù)據(jù)庫(kù)脫敏技術(shù),為敏感數(shù)據(jù)建立保護(hù)盾!
數(shù)據(jù)庫(kù)脫敏系統(tǒng)與金融行業(yè)案例解讀
數(shù)據(jù)安全治理建設(shè)思路的著力點(diǎn)——數(shù)據(jù)安全咨詢(xún)服務(wù)【安華金和】
數(shù)據(jù)庫(kù)防火墻功能有哪些?-數(shù)據(jù)安全-安華金和
數(shù)據(jù)安全關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫(kù)脫敏技術(shù)詳解【安華金和】
中國(guó)數(shù)據(jù)安全治理落地指導(dǎo)書(shū)籍《數(shù)據(jù)安全治理白皮書(shū)5.0》正式發(fā)布(附下載)
數(shù)據(jù)庫(kù)引擎是用于存儲(chǔ)、處理和保護(hù)數(shù)據(jù)的核心服務(wù)。正因?yàn)樗菙?shù)據(jù)庫(kù)的核心服務(wù),一旦出現(xiàn)高危漏洞,往往帶來(lái)的危害也是巨大的,例如,通過(guò)漏洞篡改數(shù)據(jù)庫(kù)中的數(shù)據(jù),甚至是獲取到數(shù)據(jù)庫(kù)服務(wù)器權(quán)限,所以數(shù)據(jù)庫(kù)引擎的安全問(wèn)題是數(shù)據(jù)庫(kù)安全防護(hù)中的重要一部分。
數(shù)據(jù)庫(kù)引擎是數(shù)據(jù)庫(kù)中相當(dāng)復(fù)雜的軟件部分,它囊括了能夠保證數(shù)據(jù)庫(kù)高效平穩(wěn)運(yùn)行的所必需的多種不同處理邏輯和過(guò)程,同時(shí)還包含實(shí)現(xiàn)與用戶(hù)交互的大量部件,包括語(yǔ)法分析器和優(yōu)化器,以及讓用戶(hù)創(chuàng)建程序在數(shù)據(jù)庫(kù)內(nèi)部執(zhí)行的運(yùn)行環(huán)境(pl/sql)。由于設(shè)計(jì)的邏輯過(guò)于復(fù)雜,程序中出現(xiàn)的設(shè)計(jì)錯(cuò)誤往往會(huì)成為安全漏洞,且易于被入侵者利用。這類(lèi)漏洞包括從恰當(dāng)?shù)氖跈?quán)驗(yàn)證到允許攻擊者獲取數(shù)據(jù)庫(kù)所有控制權(quán)的緩沖區(qū)溢出,這類(lèi)程序設(shè)計(jì)錯(cuò)誤造成的漏洞非常難以防護(hù)。
其中較為有代表性的是2007年7月Oracle的一個(gè)錯(cuò)誤授權(quán)驗(yàn)證漏洞。該漏洞允許被篡改的SQL語(yǔ)句繞過(guò)執(zhí)行用戶(hù)被授權(quán)的權(quán)限,能夠在沒(méi)有相應(yīng)權(quán)限的情況下,對(duì)數(shù)據(jù)表執(zhí)行更新、插入和刪除操作。
Creat view em_em as
Select e1.ename,e1.empno,e1.deptno
From scott.emp e1,scott.emp e2
Where e1.empno=e2.empno;
Delete from em_em;
SQL SERVER 2005的cve-2008-0107也是這種類(lèi)型的漏洞。該漏洞允許攻擊者通過(guò)整數(shù)形緩沖區(qū)溢出漏洞控制SQL SERVER所在服務(wù)器。
在數(shù)據(jù)庫(kù)安全防護(hù)過(guò)程中,針對(duì)這種漏洞安華金和建議數(shù)據(jù)庫(kù)使用者,在出現(xiàn)數(shù)據(jù)庫(kù)引擎漏洞的時(shí)候,應(yīng)該及時(shí)安裝數(shù)據(jù)庫(kù)最新補(bǔ)丁,如果因?yàn)槟撤N原因無(wú)法及時(shí)打補(bǔ)丁,也請(qǐng)使用VPATCH功能的數(shù)據(jù)庫(kù)防火墻保護(hù)數(shù)據(jù)庫(kù)安全。
試用申請(qǐng)
在線(xiàn)咨詢(xún)
咨詢(xún)電話(huà)
TOP