關于資料庫安全的層面大體分為兩層:第一層是指系統安全運作。對系統安全運作的威脅主要是指一些網絡犯罪分子通過網際網路、區域網路等侵入計算機的破壞性活動。造成系統不能正常啟動,或計算機超負荷運作大量算法,導緻CPU風扇故障,造成CPU過熱燒壞了主機闆;第二層是指系統資訊安全,通常受到黑客入侵資料庫和竊取所需資料的威脅。資料的安全性主要是針對資料庫的,它包括資料獨立性、資料安全性、資料完整性、并發控制、故障恢複等方面。根據一些權威機構的資料洩露調查分析報告和對已發生的資訊安全事件的技術分析,總結出資訊洩露的兩種趨勢。
使用B/S模式,以Web伺服器為跳闆從資料庫中竊取資料,典型的攻擊是SQL注入攻擊,主要是因為應用和資料庫直接通路協定,沒有任何控制。内部經常發生資料洩露,大量運維人員直接接觸敏感資料,導緻網絡安全使用的損失。在資訊安全保護系統中,資料庫安全必須是保護的核心,不容易受到外部攻擊者的攻擊。同時資料庫本身要有很強的安全措施,可以抵禦和發現入侵者。為了保證資料庫的安全性,應該采取三個步驟:提前診斷、過程控制和事後分析。
1.提前診斷。用資料庫漏洞掃描系統掃描資料庫,給出資料庫安全評估結果,暴露目前資料庫系統的安全問題。用專業的安全軟體掃描應用系統,發現應用漏洞,及時封堵;模拟攻擊者的攻擊,對資料庫進行探索性分析,重點檢查使用者權限是否越權等。,并收集應用系統漏洞和資料庫漏洞;檢查敏感資料是否加密、危險的擴充存儲過程是否被禁用、端口是否安全、通路協定是否安全等。提前診斷越充分,越有利于系統安全。
2.事件中的控制。及時關閉資料庫伺服器,切斷攻擊者與資料庫的聯系。雖然會面臨一定的損失,但總比資料丢失危害小很多。
3.事後分析。利用資料庫審計功能,分析資料庫通路日志,及時發現可疑操作和可疑資料,利用資料庫備份及時進行資料恢複。
4.對SQL注入攻擊的資料庫表進行表的函數設定,比如金額這裡隻允許寫入數字,而不能寫入其他内容。
5.資料庫可以采用内網單獨的伺服器,促使網站和資料庫分離,權限劃分開,以防被提權拿到最高權限。
6.對資料庫進行全面的安全加強,如端口以及賬戶權限群組件,或讀寫分離,如果不對這些安全加強防護都不懂得話可以像網站安全公司求助如SINE安全,鷹盾安全,啟明星辰,綠盟,大樹安全等等。