专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


常见数据库安全漏洞及解决办法

2017-06-13 18:05 推荐: 浏览: 427 views 字号:

摘要: 现状 2016年堪称创纪录的“数据泄露年”。身份盗窃资源中心的数据显示,美国2016年的数据泄露事件比上一年增长了40%,高达1,093起。其中,商业领域是重灾区,紧随其后的是医疗保健行业,政府和教育机构也是常见目标。 必要性 数据库作为非常重要的存储工具,...

现状

2016年堪称创纪录的“数据泄露年”。身份盗窃资源中心的数据显示,美国2016年的数据泄露事件比上一年增长了40%,高达1,093起。其中,商业领域是重灾区,紧随其后的是医疗保健行业,政府和教育机构也是常见目标。

必要性

数据库作为非常重要的存储工具,里面往往会存放着大量有价值或敏感信息, 这些信息包括金融财政、知识产权、企业数据等方方面面的内容。因此,数据库往往会成为黑客们的主要攻击对象。总有大批创意百出的黑客不断捣鼓出超狡猾的新方法染指各类数据。然而,也有很大一部分黑客不断重复老旧套路——因为同样老旧的漏洞一直在全球各个企业里涌现。

 

本文列出了几个最常见的数据库安全漏洞问题,希望大家可以引以为鉴。

 

1. 错误的部署

错误的部署或部署不当都会很容易让数据库陷入危难之中。在进行完全部署之前,全面检查、测试数据库是非常有必要的,以确保数据库能胜任其应该承担的工作。

解决办法:部署前进行广泛测试、检查,尽可能找出可被攻击者非预期利用的方面。

 

2. 离线服务器数据泄露

公司数据库可能会托管在不接入互联网的服务器上,但其实无论有没有互联网连接,数据库都有可供黑客切入的网络接口,数据库安全仍会受到威胁。

解决办法:首先,将数据库服务器当成联网服务器一样看待,做好相应的安全防护。其次,在进行数据库开发时,使用TLS或SSL加密通信平台对数据进行加密尤为重要。

 

3.错误配置的数据库

很多数据库都是被陈旧未补的漏洞或默认账户配置参数出卖的。这可能是管理员太忙而无法及时顾及,或者因为业务关键系统无法承受停机检查数据库所带来的损失等原因所导致。

解决办法:营造数据库安全是公司首要任务的氛围,提高全公司人员的安全意识,督促数据库管理员及时配置和修复数据库。

 

4. SQL注入攻击

SQL注入是最常见的数据库漏洞之一,它还是开放网页应用安全计划(OWASP)应用安全威胁列表上的头号威胁。SQL注入到数据库后,应用程序将被注入恶意的字符串来欺骗服务器执行命令,如读取敏感数据、修改数据、执行管理操作等。

解决办法:在开发过程中,对输入变量进行SQL注入测试。待开发完成后,用防火墙保护好数据库网络。

 

5. 权限配置不当

数据库面临的访问权限问题主要有:员工被赋予过多的超出其工作所需的权限;反之,则是没有开启足够的权限相反,则是没有开启足够的权限;另外,权限还可能被恶意使用。

解决办法:按照最小权限原则分发权限,仅赋予员工完成工作所需的最小权限。此外,严格监视数据库访问行为,确保员工权限仅用于经授权的操作。员工离职时需立即撤销其所赋予的权限。

 

6.存档数据不规范

员工可能通过盗取数据库备份获得大量个人资料,这也很可能造成数据泄露。

解决办法:对数据进行加密存档,对存档数据的访问和使用情况进行严格监视,以减少内部人威胁。

 

预防数据库安全漏洞问题,第一步就是增强我们自身的防护意识。其次,需要做好相应的技术应对。

 

作为国内数据安全解决方案的专业厂商,闪捷信息一直以“让数据使用更放心”为使命,不断努力创新,自主开发了业内性能最高、适应性最强的数据库安全防护产品体系,包括数据库监控扫描系统、数据库防火墙系统、数据库透明加密系统、数据库审计系统,为核心数据提供事前预警、事中防御、事后审计的一体化数据库安全解决方案。

 

闪捷信息(Secsmart)数据库安全防护产品体系

 

 

1.数据库监控扫描系统:

可以针对数据库进行全面的自动化监控及扫描,提前发现数据库中存在的漏洞,并提供修复指导。

2.数据库防火墙系统:

采用主动防御技术,能实时监控、识别、告警、阻断来自内外部的所有认定不良操作,防止对核心数据的破坏。

3.数据库透明加密系统:

具有权限控制和加密存储等功能,用户可针对核心数据进行加密处理,并设置访问权限,只有授权用户才能访问加密数据,从而保证数据的机密性。

4.数据库审计系统:

采用多核多线程硬件平台、零拷贝技术、存储检索等技术,全程审计数据库所有操作,并实时进行记录、分析、识别、风险判定,提供审计情况报表及风险报警功能。

联系站长租广告位!

中国首席信息安全官


关闭


关闭