數(shù)據(jù)庫(kù)���,簡(jiǎn)稱(chēng)DB。是依照某種數(shù)據(jù)模型組織起來(lái)并存放二級(jí)存儲(chǔ)器中的數(shù)據(jù)集合���。這種數(shù)據(jù)集合具有如下特點(diǎn):盡可能不重復(fù),以最優(yōu)方式為某個(gè)特定組織的多種應(yīng)用服務(wù)�����,其數(shù)據(jù)結(jié)構(gòu)獨(dú)立于使用它的應(yīng)用程序,對(duì)數(shù)據(jù)的增��、刪�、改和檢索由統(tǒng)一軟件進(jìn)行管理和控制。
數(shù)據(jù)庫(kù)往往會(huì)成為黑客們的主要攻擊對(duì)象�����。網(wǎng)絡(luò)黑客們會(huì)利用各種途徑來(lái)獲取他們想要的信息�����,因此��,保證數(shù)據(jù)庫(kù)安全變得尤為重要����。盡管意識(shí)到數(shù)據(jù)庫(kù)安全的重要性��,但開(kāi)發(fā)者在集成應(yīng)用程序或修補(bǔ)漏洞����、更新數(shù)據(jù)庫(kù)的時(shí)候仍然會(huì)犯一些錯(cuò)誤�,讓黑客們乘虛而入�����。
1��、基礎(chǔ)設(shè)施薄弱
黑客一般不會(huì)馬上控制整個(gè)數(shù)據(jù)庫(kù)����,相反���,他們會(huì)選擇玩跳房子游戲來(lái)發(fā)現(xiàn)基礎(chǔ)架構(gòu)中薄弱的地方���,然后再利用該地方的優(yōu)勢(shì)來(lái)發(fā)動(dòng)字符串攻擊,直到抵達(dá)后端�����。
2����、缺乏隔離
給管理員和用戶進(jìn)行職責(zé)劃分��,如果他們?cè)噲D盜取數(shù)據(jù)��,那么內(nèi)部員工將會(huì)面臨更多的困難�����。所以����,限制用戶數(shù)量,這樣黑客想控制整個(gè)數(shù)據(jù)庫(kù)就會(huì)有一定的挑戰(zhàn)���。
3�、SQL注入
一旦應(yīng)用程序被注入惡意的字符串來(lái)欺騙服務(wù)器執(zhí)行命令��,那么管理員不得不收拾殘局�����,在保護(hù)數(shù)據(jù)庫(kù)上,這是一個(gè)主要問(wèn)題�����。目前最佳的解決方案就是使用防火墻來(lái)保護(hù)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)。
4���、密鑰管理不當(dāng)
保證密鑰安全是非常重要的�,但是加密密鑰通常存儲(chǔ)在公司的磁盤(pán)驅(qū)動(dòng)器上,如果無(wú)人防守�����,那么您的系統(tǒng)會(huì)很容易遭受黑客攻擊�����。
5���、違法操作
開(kāi)發(fā)人員可以利用追蹤信息/日志文本來(lái)查詢和解決此類(lèi)問(wèn)題。
6�����、錯(cuò)誤地部署
開(kāi)發(fā)者在部署過(guò)程中的粗心大意會(huì)很容易讓數(shù)據(jù)庫(kù)陷入危難之中��。在現(xiàn)實(shí)中�,有些公司會(huì)意識(shí)到優(yōu)化搜索引擎對(duì)于業(yè)務(wù)取得成功的重要性,但只有對(duì)數(shù)據(jù)庫(kù)進(jìn)行排序��,SEO才可以很好地對(duì)其優(yōu)化����。盡管功能性測(cè)試對(duì)性能有一定的保證,但測(cè)試并不能預(yù)料數(shù)據(jù)庫(kù)會(huì)發(fā)生的一切�����。因此����,在進(jìn)行完全部署之前,對(duì)數(shù)據(jù)庫(kù)進(jìn)行全面的檢查是非常有必要的����。
7、數(shù)據(jù)泄露
你可以把數(shù)據(jù)庫(kù)當(dāng)做后端設(shè)置的一部分,并將焦點(diǎn)轉(zhuǎn)移到保護(hù)互聯(lián)網(wǎng)安全上面�,黑客很容易操縱數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)接口的,所以����,為了避免這種現(xiàn)象發(fā)生,工程師在進(jìn)行數(shù)據(jù)庫(kù)開(kāi)發(fā)時(shí)�����,使用TLS或SSL加密通信平臺(tái)變的尤為重要�。
8�����、數(shù)據(jù)庫(kù)維護(hù)
你是否還記得2003年的SQL Slammer蠕蟲(chóng)病毒,該病毒利用SQL Server的漏洞進(jìn)行傳播�����,導(dǎo)致全球范圍內(nèi)的互聯(lián)網(wǎng)癱瘓���,中國(guó)也有80%以上網(wǎng)民受到影響��。該蠕蟲(chóng)的成功充分說(shuō)明了保護(hù)數(shù)據(jù)庫(kù)安全是多么的重要���。不幸的是,現(xiàn)實(shí)中很少有公司對(duì)他們的系統(tǒng)提供常規(guī)的補(bǔ)丁����,因此,他們很容易遭受蠕蟲(chóng)攻擊��。
9、數(shù)據(jù)庫(kù)備份信息被盜
通常�,數(shù)據(jù)庫(kù)備份信息外泄一般會(huì)來(lái)自兩種途徑,一個(gè)是外部,一個(gè)是內(nèi)部的�����。這是許多企業(yè)會(huì)經(jīng)常遇到的問(wèn)題,而解決這種問(wèn)題的唯一方法是對(duì)檔案進(jìn)行加密��。
10����、濫用數(shù)據(jù)庫(kù)特性
據(jù)專(zhuān)家稱(chēng),每一個(gè)被黑客攻擊的數(shù)據(jù)庫(kù)都會(huì)濫用數(shù)據(jù)庫(kù)特性����。例如��,黑客可以在系統(tǒng)沒(méi)有執(zhí)行的情況下隨意進(jìn)入系統(tǒng)����。解決這種問(wèn)題的方法是移除不必要的工具。
