- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
数据库信息泄漏不可忽视的安全短板
数据库信息泄漏 不可忽视的安全短板一、 概述传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术构成综合的信息安全应对策略,但这些方案在现实中变得弱不禁风,大量信息泄露事件频繁爆发。图1 Verizon2014数据泄露事件2014年数据泄漏调查报告中回顾了63737起赛博安全事件和1367起已经确认的数据泄露事件(赛博含义理解为:敏感数据资产)。图2 Verizon2014十大内部资产滥用排名根据Verizon2014年数据泄漏调查分析报告和对近期发生的信息安全事件技术分析,总结出信息泄露呈现两个趋势:(1)黑客通过B/S应用,以Web服务器为跳板,窃取数据库中数据;传统解决方案对应用访问和数据库访问协议没有任何控制能力,比如:SQL注入就是一个典型的数据库黑客攻击手段。(2)内部人员的滥用数据库存储的有价值信息导致数据资产丢失数据泄露常常发生在内部,大量的运维人员直接接触敏感数据,传统以防外为主的网络安全解决方案失去了用武之地。数据库在这些泄露事件成为了主角,这与我们在传统的安全建设中忽略了数据库安全问题有关,在传统的信息安全防护体系中数据库处于被保护的核心位置,不易被外部黑客攻击,同时数据库自身已经具备强大安全措施,表面上看足够安全,但这种传统安全防御的思路,存在致命的缺陷。二、 数据库本身存在重大安全缺陷传统观念认为数据库系统本身已具备完整的安全保障机制,存储在数据库中的数据足够安全, Oracle总裁Larry Ellison曾宣称Oracle数据库是世界上最为安全的数据库系统,但事实上以Oracle为首的数据库系统存在重大安全缺陷,主要体现为如下三个方面:图 3 主流数据库系统漏洞级别分布2.1存储文件解析后为明文数据库的数据是存储在物理文件里,这些数据按照数据库自定义的格式组织在数据库中,但这些数据本质上都是明文存储;主流的大型数据库数据文件的组织结构主动或被动公开化,只要得到这些数据文件,存储的数据其实就是透明的。这些存储文件包括数据库的数据文件、备份文件、日志文件等;这样只要能够访问或得到数据库存储文件,就可以获得数据库中的信息。比如:在互联网上公开的MyDUL软件就是可以成功解析Oracle数据文件获得明文信息的开源工具。数据库的明文存储也会因为磁盘、备份磁带的丢失引起泄密,如香港花旗银行在装修期间丢失了服务器引起的客户资料泄密。同时,明文存储使只要能够访问到数据库文件的人员,都可以看到数据库中的存储内容,如网络管理员或者攻入到内网当中的黑客。2.2数据库自身存在诸多可攻击安全漏洞数据库往往被认为具备较为完备的安全机制,从身份认证、访问控制、到通讯加密,但事实上数据库也存在诸多的安全漏洞,当前在国际漏洞库CVE上公布了2000多个数据库漏洞,号称最为安全的Oracle数据库就占了1000多个;这些漏洞大多是国际上的安全专家对数据库安全状况进行研究后发现的,包括提权漏洞(如从普通用户提权到DBA用户)、缓冲区溢出漏洞(通过该漏洞可以使数据库执行非法代码或瘫痪)、系统注入漏洞(通过该漏洞在调用系统函数时执行任意非法SQL代码)。黑客已经利用这些漏洞,对数据库进行了多次侵入;虽然数据库厂商据此提供了大量补丁包,但这些补丁包所修复的漏洞数量也是有限的,同时大量的应用系统出于系统稳定性和兼容性的原因也无法实现补丁升级;因此这些漏洞依然是黑客入侵数据库的常用通道,同时随着这些安全问题的广泛传播,数据库维护人员和程序人员也使用这些技术手段进行越权工作,对数据库造成了巨大威胁。2.3数据库自身的访问控制存在缺陷数据库采用的访问控制机制,依然是典型的三元组,也就是主体、客体和操作,其中主体主要是数据库用户或角色,客体是数据库对象,操作是典型的DDL、DML、ACL语句和某些维护操作;但对这些操作的具体内容和影响不再做控制,如是否采用了欺骗性的SQL语句、是否返回了大量数据无法控制。当前广为流传的SQL注入就是大量地利用这些控制缺陷,在SQL语句中构造永真表达式、执行外部调用、非法登录应用系统进行批量数据导出。同时某些程序人员也恶意利用这些控制缺陷,在应用程序中埋下后门程序,对有价值的信息进行非法下载,如陕西移动、深圳福彩、某三甲医院统方的安全事件,这些恶意行为可以通过数据库中的检索返回行数进行控制并阻断。三、 数据库的应用环境变得日趋复杂数据库安全事件频频发生的原因也是由于当前数据库的应用环境和应用模式日趋复杂,与数据库应用环境相关的安全隐患主要有三个方面:图4 复杂业务环境下数据库的安全隐患3.1 B/S架构使数据库间接暴露在互联网上大量Web应用的兴起,面向公众的政府、金融单位提供服务的动态网站和应用系统快速增加;大企业的各分支机构分布地域广阔,在企业内部也通过互联网实现财务
您可能关注的文档
- 摩托罗拉APicsel浏览器用户手册.doc
- 改进公司预算编制“利润观”预算的兴起.doc
- 收集的一些PPT制作技巧powerpint技巧.doc
- 支招如何培养优秀的奶粉促销员.docx
- 摄影爱好者必读简单几招拍出雪地好风光.docx
- 改革开放以来无锡工业经济发展历程总结.doc
- 改造中低产田项目绩效自评报告补充说明.doc
- 政务服务中心LED电子显示屏运作方案.doc
- 攒机DIY电脑主板接线知识图文详解.docx
- 故错法在儿童美术教学中的运用研究.docx
- 统编版高中语文必修下册古诗词诵读《游园》教学设计.docx
- 2.2 海陆的变迁教学设计2023-2024学年人教版地理七年级上册.docx
- 1.1 1 古代埃及 教学设计 2023-2024学年统编版九年级历史上册.docx
- 分数乘法应用(教学设计)2023-2024学年六年级上册数学人教版.docx
- 第24课《唐诗三首》教学设计2023-2024学年统编版语文八年级下册.docx
- 第2章 第16课时 二次根式(3)2023-2024学年八年级上册数学课时分层作业教学设计(北师大版).docx
- 2.2用数对确定位置(教学设计)-2024-2025学年五年级上册数学人教版.docx
- 第3课 编辑合成靠图层 教学设计 2023—2024学年鲁教版(2018)初中信息技术第2册.docx
- 第一单元 语文园地 教学设计 2023-2024学年统编版(五四制)语文六年级上册.docx
- Unit 7检测卷教学设计 2024-2025学年人教版(2024)七年级英语上册.docx
文档评论(0)