×
畅享IT
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918
当前位置:畅享论坛 >  科技  >  网络|安全 > 正文
发帖
回复
(共 0 条) 上一页 下一页
查看: 193|回复: 0

“泄了密,我损失惨重啊!”没事儿,学会了这几招,那都不叫事!

[复制链接]

等级:助理
行业:
职能部门:
城市:北京
金币:195

随着计算机及网络技术的发展和广发应用,越来越多的关键业务系统运行在数据库平台上。数据库中的数据作为一个组织中的数字财产,一旦泄露或丢失就可能让组织蒙受经济损失,或者失去客户和公众的信任。

 

SQL 注入攻击、内部人员的不正确操作、内部高权限用户的数据泄密等,促使组织机构寻找保障其商业数据库系统的数据安全的新方法。根据现有的技术水平及数据库自身的防范措施,本文系统分的总结了一下可以提供整体防护的8 大方法,让组织机构既可以用于保护数据库,又可以实现遵循一些关键的业界规范。

 

以前,很多组织机构的安全防护重点集中在保障网络外围和客户端系统的安全上,因此纷纷部署了防火墙、IDS/IPS、反病毒软件等安全设备。但现在,保障自己的数据库免受损害和阻止未授权的变更显然更为重要。

 

下面是能够提供数据整体安全性的8 个最佳方法,既可以捍卫数据库的安全,又可以用一些关键规范实现合规要求。

 

发现

 

我们无法保障自己并不知道的事物的安全性,因此应该对敏感数据资产有很好的洞察力,包括数据库实例、位于数据库中的敏感数据等,还应该使“发现”的过程自动化。

 

一旦存在新的或被修改的应用程序、数据合并及数据获得,敏感数据的位置就会不断地发生变化。

 

有些发现工具还可以发现SQL 注入攻击存放到数据库中的恶意软件。这是因为SQL 注入攻击除了暴露机密信息以外,还准许攻击者在数据库中嵌入其他的攻击,以便于对付该网站的访问者。

 

数据库安全加固

 

一次漏洞评估的结果通常包括一整套特别的建议,这是强化和加固数据库的首要步骤。加固数据库的其他要素还涉及清除并不使用的所有功能和选项。

 

对变更的审核

 

一旦创建了一种加固的配置,就必须持续地追踪记录它,以保障并没有背离自己的安全配置。

 

您可以通过变更审核工具来完成此项任务,这种工具可以比较配置的快照(可以在操作系统上进行,也可以在数据库上进行),并在发生影响到数据库安全的数据变更时,及时向数据库管理员发出警告。

 

数据库活动的监视

 

要想快速检测入侵和数据滥用,实时的数据库活动监视是限制数据暴露的关键。例如,数据库活动监视能够对非正常的访问模式( 表明一次SQL 注入攻击的存在)、非授权的数据变更、账户的特权提升、经由SQL 命令而执行的配置变更等发出警告。

监视享有特权的用户是数据监管规范和数据私密性规范的要求。这对于检测入侵极为重要,因为这种攻击经常会导致攻击者获得特权用户的访问(如由您的业务应用程序所拥有的登录凭证而实施的访问)。

 

数据库活动监视还是漏洞评估的一个关键组件,因为它准许您超越传统的静态评估,可以包括“行为漏洞”的动态评估。例如,多个共享特权用户的登录凭证或者失败的数据库登录的过多数量等。

 

有些数据库监视技术还提供应用层的监视,准许您检测经由多重应用程序所执行而不是直接连接到数据库的欺诈行为。

 

审核

 

对于可能影响到安全态势、数据完整性或查看敏感数据的任何数据库活动,都要生成安全的、无争议的审核记录。除了作为合规性要求的关键要素外,拥有精细的审核记录对于取证调查也是极为重要的。

 

多数组织都选择利用传统的本地数据库日志功能,采用某种形式的手动审计。然而,由于这种方法的复杂性和较高的操作成本,又有多少人真正做到了呢?其他的不利之处包括高昂性能所导致的管理费用、缺乏职责分离(因为数据库管理员可以轻易地危害到数据库日志的内容),以及购买和管理大量存储设备,以应对未过滤的业务信息的需要。

 

幸运的是,新一代的数据活动监视方案可以提供精细的、独立于数据库管理系统的审核,而且它对数据库系统性能的影响极小,同时又有自动化、集中化的跨数据库策略和审核规则库、过滤和压缩等特性,因而可以减少操作成本。

 

认证、访问控制、三权分立

 

并非所有的用户和数据都平等,必须验证所有的用户,保障每个用户都有完整的义务,并管理其特权,以限制对数据的访问。而且,您还必须强化这些特权,即使对于最有特权的数据库用户也是如此,并需要定期检查权利报告,将其用于正式的审核过程的一部分。

 

数据库加密

 

使用加密技术可以让不法之徒无法阅读敏感数据,这样攻击者就无法从数据库的外部获得对数据的未经授权的访问。这包括对传输中的数据进行加密,因而在数据被发送给数据库客户端时,攻击者就无法在网络层实施窃听及获得对数据的访问。这种加密还包括对静态的数据进行加密,即使攻击者能够访问媒体文件也无法获取数据。



畅享论坛提示:看帖后顺手回帖,是对辛苦发帖者的鼓励,是美德。

查阅更多相关主题的帖子: 数据库加密 安全 加固 权限
(共 0 条) 上一页 下一页
您还未登录,不能对文章发表评论!请先登录
2020-07-10 01:12:38 460/2020-07-10 01:12:38 475/2020-07-10 01:12:38 475