认识数据库十大威胁 保护数据的安全

互联网 | 编辑: 黄蔚 2010-06-28 00:00:00转载 一键看全文

数据库身份验证不足威胁

威胁 8 - 数据库通信协议漏洞

在所有数据库供应商的数据库通信协议中,发现了越来越多的安全漏洞。在两个最新的 IBMDB2 Fix Pack 中,七个安全修复程序中有四个是针对协议漏洞1。同样地,最新的 Oracle 季度补丁程序所修复的 23个数据库漏洞中有 11 个与协议有关。针对这些漏洞的欺骗性活动包括未经授权的数据访问、数据破坏以及拒绝服务。例如, SQL Slammer2蠕虫就是利用了 Microsoft SQL Server协议中的漏洞实施拒绝服务攻击。更糟糕的是,由于自身数据库审计机制不审计协议操作,所以在自身审计记录中不存在这些欺骗性活动的记录。

威胁 9 - 身份验证不足

薄弱的身份验证方案可以使攻击者窃取或以其他方法获得登录凭据,从而获取合法的数据库用户的身份。攻击者可以采取很多策略来获取凭据。

·暴力- 攻击者不断地输入用户名/密码组合,直到找到可以登录的一组。暴力过程可能是靠猜测,也可能是系统地枚举可能的用户名/密码组合。通常,攻击者会使用自动化程序来加快暴力过程的速度。

·社会工程– 在这个方案中,攻击者利用人天生容易相信别人的倾向来获取他人的信任,从而获得其登录凭据。例如,攻击者可能在电话中伪装成一名 IT 经理,以“系统维护”为由要求提供登录凭据。

·直接窃取凭据– 攻击者可能通过抄写即时贴上的内容或复制密码文件来窃取登录凭据。

威胁 10 - 备份数据暴露

经常情况下,备份数据库存储介质对于攻击者是毫无防护措施的。因此,在若干起著名的安全破坏活动中,都是数据库备份磁带和硬盘被盗。防止备份数据暴露所有数据库备份都应加密。实际上,某些供应商已经建议在未来的 DBMS产品中不应支持创建未加密的备份。建议经常对联机的生产数据库信息进行加密,但是由于性能问题和密钥管理不善问题,这一加密方法通常是不现实的,并且一般被公认为是上文介绍的细化的权限控制的不理想的替代方法。

至于对策,有的其实由DBA通过一些配置和加固就可以DIY,当然,有的还需要考虑引入第三方的产品,例如对于提权行为、滥用合法权限行为、SQL注入行为的判定。在以后,我还会更多地谈及数据库审计的话题。

提示:试试键盘 “← →” 可以实现快速翻页 

总共 3 页< 上一页123
一键看全文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑