标签： 数据库防御

　　【IT168调查报告】随着IT对企业业务影响的越来越深入，企业所面临的安全问题也日益突出，数据安全成了企业CIO们关注的热点之一。对数据库的安全审计也成了企业保障数据安全不可获缺的重要一环。2011年6月，我们针对企业CIO、项目经理、DBA等200多位企业IT专业人员进行了数据库安全审计用户需求调查。在我们收集到的超过200份的调查问卷中，超过40%的企业用户认为数据库面临的最主要的安全问题是内部人员的违规操作。

　　3月24日，迈克菲今日宣布拟收购私营企业Sentrigo，Sentrigo是数据库安全与合规、评估、监控和入侵防护解决方案的主要提供商。Sentrigo可以提供包括漏洞管理、数据库活动监控、数据库审计和虚拟补丁安装在内的一整套数据库安全技术，确保数据库得到有效保护，同时不会影响性能和可用性。

　　迈克菲通过安全创新联盟 （SIA） 计划与Sentrigo建立了合作伙伴关系，并于2010年与其达成了OEM合作关系，以提供迈克菲数据库漏洞管理（McAfee Vulnerability Manager for Databases）、迈克菲数据库活动监控（McAfee Database Activity Monitoring）和迈克菲数据库完整性监控（McAfee Integrity Monitoring for Databases）解决方案。通过本次收购，迈克菲将可以为数据库漏洞管理、数据库保护以及数据库活动监控提供最佳解决方案。
...

　　这篇文章给出了一个国外厂商调查分析出来的十大数据库安全漏洞：
　　1.默认、空白及弱用户名/密码
　　2.SQL注入
　　3.广泛的用户和组权限
　　4.启用不必要的数据库功能
　　5.失效的配置管理
　　6.缓冲区溢出
　　7.特权升级
　　8.拒绝服务攻击
　　9.数据库未打补丁
　　10.敏感数据未加密
　　
　　此前，另一个公司也给出过数据库安全十大威胁，两者基本一致。
　　威胁 1 - 滥用过高权限
　　威胁 2 - 滥用合法权
　　威胁 3 - 权限提升
　　威胁 4 - 平台漏洞
...

　　挑战：数据库保护
　　
　　近几年，许多公司为保护自己的IT基础设施所做的大部分努力主要集中在外部，即如何保护公司免遭外部入侵、黑客以及恶意攻击。目前，公司网络已经在安全上获得了一定的改善，获得了更深层次的保护。但是，数据层仍是公司IT基础设施的软肋。
　　
　　数据库中包含很多敏感且宝贵的数据：例如有关客户、事务、财务业绩以及人力资源的信息。尽管如此，数据库仍是公司受保护最少的领域之一。虽然外部和网络安全措施对某些攻击类型起到了防御作用，但是仍有一些攻击类型能够利用数据库特有的漏洞进行攻击。
...

　　===========================================
　　WEB安全
　　www.youxia.org
　　===========================================

　　1 抗DoS/DDoS产品
　　2 整体漏洞扫描产品
　　3 网站脆弱性评估产品
　　4 服务器加固
　　　　4.1 操作系统加固
　　　　4.2 数据库加固
　　5 数据库脆弱性评估
　　6 数据库审计
　　7 SOC平台实时监控
　　8 网站木马检测
　　9 网站防篡改系统
　　10 代码审计
　　　　10.1 asp
　　　　10.2 php
　　　　10.3 jsp
　　11 IPS入侵防御
　　12 IDS入侵检测
　　13 WEB应用防火墙
　　14 防火墙
　　===========================================
　　网路游侠 QQ：55984512 提供网站安全整体解决方案。
　　===========================================
2009年06月21日 网友“无心喃呢”建议，增加“以人为本”

　　一、信息安全时代的到来
　　2005年美国最大的金融数据泄密事件爆发， 数千万信用卡数据被窃， 损失数以亿万美金计。几乎同时国内出现的某移动充值卡事件， 某电信的计费数据库被清零事件，某医院所有病人的个人档案和处方信息被窃取，包括前几天出现的3.15信息非法外泄的披露， 现实告诉我们，信息安全时代呼唤专业实效的数据库审计。
　　新信息安全时代区别于10年前开始的网络安全时代的最大特征在于，