肩負(fù)核心數(shù)據(jù)的存儲(chǔ)重任����, 數(shù)據(jù)庫(kù)安全無(wú)論如何強(qiáng)調(diào)也不為過(guò)����。然而事實(shí)上,數(shù)據(jù)庫(kù)的安全防護(hù)并沒(méi)有得到應(yīng)有的重視���。隨著信息技術(shù)的日新月異��,安全的攻與防每天都在上演��,作為安全企業(yè)�,我們深知:必須了解數(shù)據(jù)庫(kù)面臨的所有安全威脅�����,才能提供有針對(duì)性的對(duì)數(shù)據(jù)庫(kù)安全提出解決方案��。
目前�����,數(shù)據(jù)庫(kù)面臨的安全威脅多種多樣����,按照威脅來(lái)源可以大體分為幾類:
1����、來(lái)自外部黑客的數(shù)據(jù)庫(kù)入侵
黑客入侵是目前數(shù)據(jù)庫(kù)面臨的主要安全威脅�,而黑客成功的跳板有兩方面:一是來(lái)自數(shù)據(jù)庫(kù)自身的安全漏洞��,這些漏洞多數(shù)已經(jīng)發(fā)布在CVE�、CNNVD等國(guó)家權(quán)威漏洞發(fā)布平臺(tái)上,但是用戶很難做到實(shí)時(shí)更新���,漏洞攻擊是黑客入侵最喜歡的姿勢(shì)��。另一種被黑客廣泛使用的是SQL注入��,通過(guò)把SQL命令插入到Web表單���,提交輸入域名或頁(yè)面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令��,對(duì)數(shù)據(jù)庫(kù)進(jìn)行惡意操作����。這是個(gè)技術(shù)活兒,但目前中高級(jí)黑客玩起來(lái)還是很順手的��。
2���、來(lái)自內(nèi)部運(yùn)維側(cè)的安全隱患
內(nèi)部運(yùn)維人員擁有數(shù)據(jù)庫(kù)的高權(quán)限賬戶�,比如DBA雖然是普通員工,但其擁有數(shù)據(jù)庫(kù)的最高權(quán)限賬戶�,可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行“增刪改查”等高權(quán)限操作,無(wú)意中的高危操作或誤操作���,可能導(dǎo)致無(wú)法挽回的數(shù)據(jù)資產(chǎn)損失��。
3���、第三方外包人員的惡意操作
對(duì)于人力資源的配置,企業(yè)常常將系統(tǒng)開(kāi)發(fā)�、測(cè)試、運(yùn)維�����、數(shù)據(jù)分析等項(xiàng)目交由第三方外包公司��,項(xiàng)目進(jìn)行中���,外包人員同樣可以獲得數(shù)據(jù)庫(kù)的高權(quán)限賬戶���,他們的操作是否有人監(jiān)控?項(xiàng)目提交后�����,你是否能夠檢測(cè)����,系統(tǒng)是否被設(shè)置后門(mén)程序?
以上三種數(shù)據(jù)庫(kù)安全威脅只是從威脅來(lái)源進(jìn)行簡(jiǎn)單的描述�����,如同信息技術(shù)的飛速發(fā)展�,攻擊手段的演變似乎更加日新月異,沒(méi)有一招制敵的方法����,我們必須時(shí)刻了解數(shù)據(jù)庫(kù)安全威脅的變化和形態(tài),才能夠從容面對(duì)可能到來(lái)的風(fēng)暴�����。
產(chǎn)品咨詢:4000 258 365 
