数据库安全面临的挑战
当今的电信企业在IT信息安全领域面临比以往更为复杂的局面,这既有来自于电信企业外部的层出不穷的入侵和攻击,也有来自于电信企业内部的违规和泄漏。由于电信业务系统众多(如:OSS、BSS、MSS、销账、EIP、OCS、财务、营销支撑、计费结算等),数据库用户较多,涉及数据库管理员、内部员工、营业厅及合作方人员等,因此网络管理更加复杂,电信数据库面临的主要安全威胁与风
网络安全和数据安全:资讯、技术、法规、趋势……
数据库安全面临的挑战
当今的电信企业在IT信息安全领域面临比以往更为复杂的局面,这既有来自于电信企业外部的层出不穷的入侵和攻击,也有来自于电信企业内部的违规和泄漏。由于电信业务系统众多(如:OSS、BSS、MSS、销账、EIP、OCS、财务、营销支撑、计费结算等),数据库用户较多,涉及数据库管理员、内部员工、营业厅及合作方人员等,因此网络管理更加复杂,电信数据库面临的主要安全威胁与风
本文是华安论坛perlish的回帖,原帖是《请推荐一款数据库审计产品》
写的很犀利,也针对目前的数据库审计市场的做法提出了质疑
游侠认为,不仅仅是数据库审计,一些别的产品也是如此 🙂
销售、售前,都可以看看:用户最关心什么?凭什么打动用户?
转载没有征得发帖人同意……在此表示感谢。
随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域。但随之而来产生了数据的安全问题。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。小则关系到企业兴衰、大则关系到国家安全。
在涉密单位或者大型企业中,广泛的实施了安全防护措施,包括机房安全、物理隔离、防火墙、入侵检测、加密传输身份认证系统等等。但是数据库的安全问题却一直得不到应有的重视。同时,之前
这篇文章给出了一个国外厂商调查分析出来的十大数据库安全漏洞:
1.默认、空白及弱用户名/密码
2.SQL注入
3.广泛的用户和组权限
4.启用不必要的数据库功能
5.失效的配置管理
6.缓冲区溢出
7.特权升级
8.拒绝服务攻击
9.数据库未打补丁
10.敏感数据未加密
此前,另一个公司也给出过数据库安全十大威胁,两者基本一致。
威胁 1 – 滥用过高权限
威胁 2 – 滥用合法权
威胁 3 – 权限提升
威胁 4 – 平台漏洞
…
某安全公司招聘应用安全工程师,承担风险评估、渗透测试和应急响应工作
具体要求:
1 精通SQL注射、跨站脚本攻击等应用攻击手法;
2 熟悉常见脚本语言和数据库,能够进行WEB渗透测试,恶意代码检测和分析;
3 熟悉攻击的各类技术及方法,对各类操作系统、应用平台的弱点有较深入的理解;
4 分析问题和实际动手能力强,具有良好的团队合作精神;
5 具有良好的沟通能力和文档编写能力;
5 学历不限;
6 有相关工作经验者优先;
工作地点:杭州或上海
联系方式 QQ:19833355
挑战:数据库保护
近几年,许多公司为保护自己的IT基础设施所做的大部分努力主要集中在外部,即如何保护公司免遭外部入侵、黑客以及恶意攻击。目前,公司网络已经在安全上获得了一定的改善,获得了更深层次的保护。但是,数据层仍是公司IT基础设施的软肋。
数据库中包含很多敏感且宝贵的数据:例如有关客户、事务、财务业绩以及人力资源的信息。尽管如此,数据库仍是公司受保护最少的领域之一。虽然外部和网络安全措施对某些攻击类型起到了防御作用,但是仍有一些攻击类型能够利用数据库特有的漏洞进行攻击。
…
FortiDB 系列产品提供集中管理、企业级、数据库自动坚固等功能,它具有快速实施、支持行业和政府的各种法规的特点,可以评估企业数据库的安全弱点,提高企业数据库的安全性。DBA可以快速掌握这些工具,安装容易,界面直观,满足各种法规(PCI-DSS, SOX, GLBA, HIPAA)的要求,可以直接生成报告。为FortiDB专门设计的硬件设备可以方便快速的部署在网络中,自动数据库发现功能可以跨过子网和广域网边界快速发现网络上的所有数据库,通过脚本的定时执行来发现数据库的漏洞和与法规相违背的部分。设备预先内置了几百条策略,这些策略涵盖了企业和政府的规范、数据库安全的最优方法、已知的数据库漏洞、与数据库安全相关的操作系统问题和数据库访问权限等。一套全面的基于标准的图形报告功能内置于系统中,可以迅速产生报告。
…
目前数据库市场价值已经超过200亿美元,并且存储的敏感信息的数量也在迅速增长,这也难怪数据库成为当今安全攻击的最大目标。毕竟,数据库包含着客户信用卡信息、金融数据和知识产权等“诱饵”。有些强大而复杂的攻击者能够通过非法途径打开数据库以进行恶意操作,你甚至可以将数据库看作是公司的命脉。
在很多企业中,对数据库访问的特权都有管理不当的问题。开发者、移动员工和外部顾问经常能够在没有太多限制的情况下访问敏感信息。另外,人员流动和外包也可以让数据库活动很难锁定。
虽然数据库要求符合大多数合规要求,包括信用卡行业数据安全标准(PCI DSS)、Sarbanes-Oxley法案和HIPAA法案以及FISMA等,但是数据库往往很难满足所有合规要求,并且合规并不总是企业的最优先事项。
…
本文使用的是从某数据库安全厂家获取的数据库扫描系统,版本不是最新的,不过应该可以代表产品的设计思路和其在相关领域的技术实力。
数据库扫描的初期,一般都是确认评估范围,本产品也不例外。添加任务有两种方法:一是直接输入数据库的详细信息,二是对网络进行扫描,确认网内数据库的总量。
相对于网上Nessus、NMAP等评估工具,本款数据库扫描产品更像是一款安全测试工具,因为在对数据库进行安全评估的时候,不但要输入通用的IP、端口,更要输入数据库系统的账号,甚至操作系统的账号(这样就可以审核用系统账号登录数据库系统情况下的安全性)。
扫描速度理所当然的相当快,因为就技术而言,数据库的漏洞并不像主机那么多,检测项目也没有那么多,因此速度较快。下面是评估报告,当然这仅仅是主要描述部分,并不是细节描写。
下图是数据库扫描系统的一些检测项,应该说基本覆盖了数据库安全检查项的绝大多数。
下面是一个细节的描述,描述名称为“审计级别设置”:
漏洞描述:
检查审计级别是否符合安全策略。你可以设置Microsoft SQL Server提供登录成功或失败的审计跟踪记录。审计日志提供哪个登录ID尝试登录,成功还是失败,连接是标准的还是信任的,时间和日期等信息。正确设置审计级别可以用来严格检测过期登录,登录攻击,违反登录时间。
漏洞来源:
审计是数据库管理系统安全性重要的一部分,通过审计,凡是与数据库安全性相关的操作可被记录下来,只要检测审计记录,系统安全员就可以掌握数据库被使用状况。如何设置审计的级别:不审计、成功审计、失败审计、全部审计。
修复建议:
更改审计级别。 对于SQL Server 6.x(使用企业管理器): 1.右击服务 2.从弹出菜单中选择设置 3.选择安全选项页 对于SQL Server7.0和2000(使用企业管理器): 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别 对于SQL Server 2005(使用SQL Server Management Studio): 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别
漏洞描述、漏洞来源、修复建议,都比较的详细,可以指导数据库管理员对数据库进行有效的检查、审核数据库系统的安全性。
当然,相对于某些数据库扫描系统不支持MySQL(为什么不支持MySQL?因为多数人用的是免费版?),本软件支持Microsoft SQL Server、Oracle、MySQL、Sybase数据库,我手头的这版本没有DB/2和Infomix的支持,不知道新版本是否支持?
总的来说,产品是不错的,特别是在市场上数据库漏洞扫描产品很少,等级保护和分级保护又明确了数据库安全的情况下,本产品应该很有市场。
作者:网路游侠 https://www.youxia.org
转载请注明来源!谢谢合作。
概述
安鼎数据库安全访问中间件是为增强普通关系数据库管理系统的安全性而设计开发的,旨在提供一个安全适用的数据库加密平台,对通信和数据库存储的内容实施有效保护。
该系统中通过通信加密、数据库存储加密等安全方法实现了数据库数据存储和通信的保密和完整性要求。具有自主知识产权的加密算法和密文查询算法在保证安全性的同时兼顾了系统的效率,使数据库的加密达到实用化水平。
系统采用开放的体系结构,支持标准SQL语句,提供了ODBC、OLEDB和JDBC支持,也提供调用级接口(CLI)。
系统已经运行的平台有AIX、Solaris、Sco Open Server、Linux、Windows NT/2000/XP,支持的数据库管理系统有DB2、Oracle、Sybase、Microsoft SQL Server。
…
GUARDIUM数据库安全审计解决方案的突出特点和优势:
1.可以同时支持监控管理多种数据库(ORACLE/SYBASE/INFORMIX/DB2/SQL SERVER/TERADATA/MYSQL )的各种版本;
2.同时支持多种企业级应用(ORACLE E-BUSINESS SUITE/PEOPLESOFT/SIEBEL/JD EDWARDS/SAP/BUSINESS OBJECTS)、应用服务器/中间件服务器(WEBSPHERE/WEBLOGIC/TUXEDO/ORACLE APPLICATION SERVER/JBOSS/.NET/APACHE/TOMCAT/MQ & etc);
…
【51CTO.com快译6月22日外电头条】如今顶尖的黑客一定都是顶尖的商人!因为他们的评估记录上会写着哪些目标最简单,哪些目标最有利可图。现在,可能没有比笨拙的企业数据库更好对付的目标了。
一般来说,企业的数据库中汇集着这家公司最重要的机密:客户名单、工资记录、以及其他许多按照良好结构储存的敏感信息,这些都是最容易卖出好价钱的。何况数据库的管理员们往往不会想在安全性上精益求精,而且数据
由于数据库的作用和影响越来越大,企业数据库信息安全面临的安全威胁日渐明显。近年来不断发生的重要敏感数据被窃取、篡改问题,已经引起各方面的高度重视,成为迫切需要解决的问题。
【51CTO.com 独家特稿】存在Microsoft SQL Server SA弱口令漏洞的计算机一直是网络攻击者青睐的对象之一,通过这个漏洞,可以轻易的得到服务器的管理权限,从而威胁网络及数据的安全。作为网络管理员,我们可不能不闻不问,一定要弄清楚这其中的起因、经过和结果,才能有的放矢,做到更为有效的防范,下面我就详细的向大家介绍一下。
Microsoft SQLServer是一
前言:在各种网络上的服务器上,只要黑客能成功入侵不同配置的服务器,都会得到一定的权限,比较GUEST或SYSTEM权限等,但这些权限都是由于服务器管理员的配置不当或缺少管理经验而让黑客成功入侵的,只要我们给服务器上各种危险的组件及命令都加上一定的权限设置,那么就会得到最大的安全。下面我们来介绍一下NT系统下权限与黑客的较量,当然的的NT服务器不能是FAT32分区的,你的NT服务器必须采用NTF