标签： 数据库安全

数据库的安全问题一直以来就是DBA的噩梦，那些不安全的Web应用程序、没有有效的认证管理以及管理配置不当的分段都可能让数据库处于危险之中。当然，如果你的数据库系统没有部署流量监控或加密技术，数据库安全也可以说是不完整的。但是大多数安全从业人员都知道往往数据库安全的有效性在数据库环境外部和内部差不多。 而实际上在数据的存储过程中通常因为IT基础架构层的安全性较差而导致了更多的数据泄漏。因而产生了三个...

【IT168 评论】NoSQL厂商正在全力投入到NoSQL数据库产品的研发中，但是NoSQL数据库的安全性对于已经达到你的要求了呢? 在安全领域，NoSQL数据库的安全性一直存在争议。尽管没有人否认NoSQL在过去几年里得到了迅猛发展，但是有人认为，NoSQL在迅速抢占市场的过程中忽视了安全性(当然也有人认为NoSQL只不过是一时的流行时尚，很快就会湮灭在庞大的数据库市场中)。 只要市场随着NoS...

　　1、引言

　　随着计算机及网络技术的发展和广发应用，越来越多的关键业务系统运行在数据库平台上。数据库中的数据作为一个组织中的数字财产，一旦泄露或丢失就可能让组织蒙受经济损失，或者失去客户和公众的信任。本文将从实际安全保护经验出发，结合《信息系统安全等级保护基本要求》提出具体的数据库系统安全保护措施。

　　2、数据库系统安全保护机制

　　GB/T 22239-2008《信息系统

　　【IT168 技术】应用安全和数据库安全就像是拼图中的拼图块，它们虽然不同，却彼此之间需要对方，缺少任何一个，都不能形成一个安全整体。如果其中一方出现安全隐患就会令整个安全防御彻底失效，如WEB应用程序存在SQL注入的时候，就会对整个系统和数据库产生更大的影响。为了减小攻击范围，开发人员和数据库管理员必须明晰他们在这个过程中的角色，协同工作，以避免WEB应用暴露出任何敏感数据。

　　如今，许多行业用户将大量有价值的客户数据存储于在线数据库，通过网络应用与外界交互。不论是通信、金融、电子政务、电子商务抑或是小小的个人博客，前端应用程序和后台数据库都不可避免地结合在我们现在的模型中，任何一个都不可离开另一个而单独存在。

　　2011年已经过去，在这一年的最后几天，一场被媒体称为“中国互联网史上规模最大的泄密事件”突如其来。

　　自2011年12月21日开始，中国最大开发者技术社区CSDN的600万用户数据被泄露，其中包含极为敏感的用户名、明文密码；次日，垂直游戏网站多玩网被传泄露800万用户数据；25日，号称“最有影响力华人论坛”天涯社区4000万用户数据包被疯传；51CTO、CNZZ、eNet、UUU9、

　　过去，信息安全工作主要围绕着网络层、主机层等边界防护采取了一系列的安全措施，已建立起相对安全的数据应用环境，但由于技术局限和相关安全产品匮乏等原因，数据库安全建设一直未能得到有效开展，这就造成了数据能够安全使用、传输，但“落地”以后反而变得不安全的问题。

　　近几年，在国内市场需求迅速膨胀和分级保护、等级保护等国家安全政策的刺激下，数据库防护技术有了长足的发展，如数据库漏洞评估技术、数据

　　【IT168调查报告】随着IT对企业业务影响的越来越深入，企业所面临的安全问题也日益突出，数据安全成了企业CIO们关注的热点之一。对数据库的安全审计也成了企业保障数据安全不可获缺的重要一环。2011年6月，我们针对企业CIO、项目经理、DBA等200多位企业IT专业人员进行了数据库安全审计用户需求调查。在我们收集到的超过200份的调查问卷中，超过40%的企业用户认为数据库面临的最主要的安全问题是内部人员的违规操作。

提要:
　　周双成利用职务之便，今年3月以来，多次侵入这家运营公司用户数据库，盗取手机用户个人信息，并以每月收取1500元酬劳向其下线何宗辉提供40万余条手机用户个人信息。本报记者 杨小刚

　　截至案发时，通过这种违法行为，周双成获利4万余元，何宗辉获利上百万元，吕刚强获利60余万元，刘永聚获利60余万元。

1、 陕西近1400万手机用户个人信息被泄露

失窃/受影响的资产：1400万手机用户个人信息，包括手机用户的性别、住址、出生日期、号码、话费等大量个人隐私信息。

　　游侠语：好久之前就想过写这样一篇文章，但是一直没有成文。今天刚好在网上看到，就转发过来，推荐给大家。网上看到的地方也没有写作者，如果作者看到，劳烦和游侠说一下！

　　【IT168 专稿】随着美国金融危机爆发引发的全球经济危机，让我们越来越深刻地认识到违规操作、疏于监管带来的危害，于是审计作为现在监管比较普遍、实用且成熟的专业迎来了又一次事业的高峰。

　　经历了几十年的传统审计，虽然

从内控的角度来看，IT系统的使用 权、管理权与监督权必须三权分立。审计系统实现独立审计，帮助监督人员获得有效的技术手段，从而完善企业IT内控机制。

安华金和Oracle数据库保险箱V1.01(简称DBC) 是一款基于Oracle扩展机制实现的，数据高度安全、应用完全透明、密文高效访问的Oracle数据安全增强产品。

目前GreenSQL全面支持Microsoft SQL、MySQL、PostgreSQL的数据库审计，并且支持数据库的操作行为阻断，是名副其实的“数据库防火墙”产品。

　　为帮助企业防止数据库遭受复杂的内外攻击，甲骨文今日推出Oracle数据库防火墙（Oracle Database Firewall）。Oracle数据库防火墙围绕数据库建立了一个外围防御圈，实时监控应用的各种活动，允许正常的应用活动，同时帮助

　　3月24日，迈克菲今日宣布拟收购私营企业Sentrigo，Sentrigo是数据库安全与合规、评估、监控和入侵防护解决方案的主要提供商。Sentrigo可以提供包括漏洞管理、数据库活动监控、数据库审计和虚拟补丁安装在内的一整套数据库安全技术，确保数据库得到有效保护，同时不会影响性能和可用性。

　　迈克菲通过安全创新联盟 （SIA） 计划与Sentrigo建立了合作伙伴关系，并于2010年与其达成了OEM合作关系，以提供迈克菲数据库漏洞管理（McAfee Vulnerability Manager for Databases）、迈克菲数据库活动监控（McAfee Database Activity Monitoring）和迈克菲数据库完整性监控（McAfee Integrity Monitoring for Databases）解决方案。通过本次收购，迈克菲将可以为数据库漏洞管理、数据库保护以及数据库活动监控提供最佳解决方案。
...

　　WEB应用和数据库安全人才紧缺

　　WEB应用系统和数据库作为国家信息化建设的核心系统，承载着国家、政府、行业大量重要数据资产，面临着信息泄露、信息篡改、远程木马等安全威胁。国家相关部门制定大量的法律法规督促要求各行各业信息系统进行相应安全建设和管理，应用安全行业抓住前所未有的机遇，快速发展，旨在提供专业的应用安全产品和服务。然而由于我国应用安全起步晚，应用安全人才匮乏，安全企业人才的引