曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        數據庫安全威脅與漏洞
        發布時間:2018-10-03 13:44:44   閱讀次數:

        數據庫安全威脅與漏洞(圖1)

        傳統的信息安全解決方案主要是通過網絡傳輸通道加密、PKI或增強身份認證、防火墻、IPS、堡壘機等技術構成綜合的信息安全應對策略,但這些方案在現實中變得弱不禁風,大量信息泄露事件頻繁爆發,數據庫在近期泄露事件中成為了主角。

        這與我們在傳統的安全建設中忽略了數據庫安全問題有關,在傳統的信息安全防護體系中數據庫處于被保護的核心位置,不易被外部黑客攻擊,同時數據庫自身已經具備強大安全措施,表面上看足夠安全,但這種傳統安全防御的思路,存在致命的缺陷。

        數據庫安全威脅不單純是數據的問題還和數據庫所屬的網絡環境有密切關系,本文我們分四部分來討論:一是數據庫本身存在重大安全缺陷,二是數據庫漏洞分類說明,三是各種數據庫的風險說明,四是典型安全事件反映的數據庫安全問題。

         

        數據庫自身存在安全缺陷

        傳統觀念認為數據庫系統本身已具備完整的安全保障機制,存儲在數據庫中的數據足夠安全,在2005年Oracle的總裁Larry Ellison宣布Oracle數據庫是世界上最為安全的數據庫系統,但事實上以Oracle為首的數據庫系統存在重大安全缺陷,主要體現在存儲層、系統層、應用層三個方面。

         

        存儲文件解析后為明文

        數據庫的數據是存儲在物理文件里,這些數據按照數據庫自定義的格式組織在數據庫中,但這些數據本質上都是明文存儲;主流的大型數據庫數據文件的組織結構主動或被動公開化,只要得到這些數據文件,存儲的數據其實就是透明的。

        這些存儲文件包括數據庫的數據文件、備份文件、日志文件等;這樣只要能夠訪問或得到數據庫存儲文件,就可以獲得數據庫中的信息。比如:在互聯網上公開的MyDUL軟件就是可以成功解析Oracle數據文件獲得明文信息的開源工具。

        數據庫的明文存儲也會因為磁盤、備份磁帶的丟失引起泄密,如香港花旗銀行在裝修期間丟失了服務器引起的客戶資料泄密。同時,明文存儲使只要能夠訪問到數據庫文件的人員,都可以看到數據庫中的存儲內容,如網絡管理員或者攻入到內網當中的黑客。

         

        1. 數據庫系統存在安全漏洞

        數據庫往往被認為具備較為完備的安全機制,從身份認證、訪問控制、到通訊加密,但事實上數據庫也存在諸多的安全漏洞,當前在國際漏洞庫CVE上公布了2000多個數據庫漏洞,號稱最為安全的Oracle數據庫就占了1000多個;這些漏洞大多是國際上的安全專家對數據庫安全狀況進行研究后發現的,包括提權漏洞(如從普通用戶提權到DBA用戶)、緩沖區溢出漏洞(通過該漏洞可以使數據庫執行非法代碼或癱瘓)、系統注入漏洞(通過該漏洞在調用系統函數時執行任意非法SQL代碼)。

        黑客已經利用這些漏洞,對數據庫進行了多次侵入;雖然數據庫廠商據此提供了大量補丁包,但這些補丁包所修復的漏洞數量也是有限的,同時大量的應用系統出于系統穩定性和兼容性的原因也無法實現補丁升級;因此這些漏洞依然是黑客入侵數據庫的常用通道,同時隨著這些安全問題的廣泛傳播,數據庫維護人員和程序人員也使用這些技術手段進行越權工作,對數據庫造成了巨大威脅。

         

        數據庫應用訪問控制缺陷

        數據庫應用的訪問控制機制,依然是典型的三元組,也就是主體、客體和操作,其中主體主要是數據庫用戶或角色,客體是數據庫對象,操作是典型的DDL、DML、ACL語句和某些維護操作;但對這些操作的具體內容和影響不再做控制,如是否采用了欺騙性的SQL語句、是否返回了大量數據無法控制。

        當前廣為流傳的SQL注入就是大量地利用這些控制缺陷,在SQL語句中構造永真表達式、執行外部調用、非法登錄應用系統進行批量數據導出。

        同時某些程序人員也惡意利用這些控制缺陷,在應用程序中埋下后門程序,對有價值的信息進行非法下載。

         

        1.1.1 數據庫漏洞分類繁多

        數據庫漏洞的存在有多種方式,由于每一個現實的場景由多維組合而成,因此數據庫漏洞對應也可以從不同角度歸類劃分。這種分類將更有利于我們掌握對每種漏洞的防護技術。

         

        ·從漏洞作用范圍劃分

        遠程漏洞:攻擊者可以利用并直接通過網絡發起對數據庫攻擊的漏洞。這類漏洞危害極大,攻擊者能隨心所欲的通過此漏洞危害網絡上可辨識的數據庫。此類漏洞為黑客利用漏洞的主力。

        本地攻擊:攻擊者必須在本機擁有訪問權限的前提下才能發起攻擊的漏洞。比較典型有本地權限提升漏洞,這類漏洞在數據庫中廣泛存在,能讓普通用戶獲得最高管理員權限。

         

        ·從漏洞危害等級劃分

        漏洞危害等級主要按照CVE的評分來劃分,分為三個檔次:0-3(LOW);4-6(MEDIUM)、7-10(HIGH)。 洞的危害等級劃分是根據一個漏洞對數據庫造成什么影響來劃分的。對數據庫的響的機密性、安全性、可用性影響越大威脅等級越高,反之危險等級越低。

         

        ·從受影響系統劃分

        現有的操作系統多種多樣,并且每種系統對應多個版本。操作系統主要分為以下五類:dos 系統、windows 系統、unix 系統、linux 系統和其他操作系統。由于漏洞注入點地址和操作系統具體版本有著直接的關系,所以需要按照操作系統的具體版本來劃分。以oracle為例,由于不同的操作系統對緩沖區溢出的防守機制不同,導致這類漏洞基本不存在跨平臺的可能。

         

        ·從漏洞的危害范圍劃分

        漏洞危害是指漏洞被利用后造成的各種危害。本文的危害是指對數據庫的直接危害或利用數據庫對其他系統造成的危害。這些危害可以分為四類:危害數據庫自身,這類漏洞主要是對數據庫自身進行攻擊;危害數據庫所在服務器,這類漏洞通過數據庫對服務器進行攻擊;危害數據庫所在系統的文件系統,這類漏洞通過數據庫對服務器上的文件系統做攻擊;危害數據庫所在網絡上的其他平臺,這類漏洞通過數據庫對網絡上的其他數據庫和服務進行入侵。

         

        ·從黑客入侵數據庫技術劃分

        SQL注入

        本文說所的SQL注入不是web端的,而是針對數據庫自身的SQL注入漏洞,兩者差異很大。PL/SQL注入的思想非常簡單,在正常的sql語句中通過嵌入、注釋、轉義符等手段加入針對數據庫漏洞或數據庫設置缺陷,逐步獲取數據庫中更高權限,最終獲取數據庫中敏感信息或直接奪取數據庫DBA權限,進而可能對數據庫所在的網絡環境和本地服務器造成危害。

        緩沖區溢出

        緩沖區溢出:這里所說的緩沖區溢出是指源緩沖區的數據向小于自身位數的緩沖區復制數據時,超越目標緩沖區的位數邊界,并且數據庫未對存入數據進行邊界判斷,最終導致目標緩沖區爆滿。目標緩沖區內存改變程序控制流、奪取操作系統、禁止訪問等多種結果。

        其他

        弱口令:通常指容易被別人猜測到或被破解工具破解的口令均為弱口令,其中很大一部分是數據庫默認口令,其中有一部分是因為缺省密碼產生的。

        撞庫:通過已收集到的在其他服務中注冊的用戶名和密碼,對目標數據庫進行訪問嘗試。由于很多人習慣用相同密碼和賬號,因此成功登陸到目標數據庫的可能性大大提高,達成盜取大量敏感信息的目的。

        暴力破解:通過數據字典(密碼庫)對數據庫的用戶名進行碰撞,最終碰出可以用于訪問數據庫的用戶和密碼組合。

        其他的分類有從數據庫漏洞成因、結果、位置時序劃分,在這里就不詳述了。

         

        1.1.2 各種數據庫風險說明

        國內數據庫市場大部分被國外五大數據庫長期占據。事實上,數據庫由30年左右的發展基本形成高度壟斷,5大商用數據庫占據全球90%以上的份額,五大數據庫包括:Oracle、DB2、Informix、Sybase、SQL Server,下面本文就市場上最多的三種數據庫做詳細說明。

        從各數據庫整體上說防護的總體原則就是實施權限最小化、無用功能要禁用、核心數據要加密、密碼安全要重視、及時安裝數據庫升級包這五點。

         

        Oracle數據庫的數據庫安全建議

         

        外部進程安全防護

        Oracle 的監聽端口TNS Listener默認情況下沒有設置口令,任何可以連接到系統的人都可以管理它。設置口令可以防止對Listener的無授權管理。TCP有效節點可以用來允許某些主機連接到數據庫服務器而阻止其他服務器連接。關閉xml數據庫,XML Database 提供兩個服務:一個是FTP一個是HTTP,這2個端口都存在大量緩沖區溢出漏洞,緩沖區漏洞會導致黑客直接入侵數據庫所在操作系統。通過被控制的操作系統,進而入侵操作系統上的數據庫和整個操作系統所在網絡。

         

        Oracle核心DBMS安全防護

        首先就是數據庫賬戶問題,入侵Oracle 最簡單且常見的方法是猜測用戶名和口令,這就需要安全管理員鎖定或終止未使用賬戶,創建新用戶要注意賦予賬戶的權限和有意義的名稱,消除弱口令、更改默認口令、定義并實施良好的口令策略,良好的口令策略應保持口令沒30天更換一次 ,短期內不會使用重復的口令。

        為了便于管理用戶,應為每個用戶賬號分配一個特定的擁有最小特權的角色,一切遵循最小特權原則,應用程序賬號角色,應為每個應用程序分配一個特定的擁有最小特權的角色。

        其他的還有限制默認CONNECT角色、關閉遠程身份驗證、啟用用戶賬戶的失敗鎖定保護、啟動SQL92 security 參數、取消任何不必要的權限、啟用數據字典保護。

         

        SQL Server數據庫安全建議

        在安裝SQL Server時用集成的windows 身份驗證而不是用本地的sql server身份驗證來設置服務器,可大幅簡化安全管理,降低被口令嗅探器攻擊的風險。設置口令強度足夠的數據庫口令,來抵御來自網絡的暴力破解。

        SQL Server可以安裝在多種windows文件類型上。把NTFS用于SQL SERVER系統,會帶來2方面好處:首先可以在文件與目錄上設置單個訪問權限,其次可以利用微軟的EFS對整個文件系統做加密。

        默認情況下安裝SQL Server時,guest 賬戶將授予除了模型數據庫外的所有數據庫中的公有角色成員??梢钥紤]在windows系統中禁止guest賬戶,并且撤銷guest賬戶對除MASter和tempdb外所有數據庫的訪問權限。保留master和tempdb的訪問權是SQL Server正常運行的需要。

        刪除不需要的功能、服務和存儲過程。sql server安裝過程中會安裝許多功能、服務和存儲過程。一定要及時打補丁包,很多黑客挖漏洞的手法就是微軟出補丁后,對沒裝補丁的和安裝補丁的數據庫做逆向反編譯,通過對比挖掘漏洞。如果你的數據庫因為種種原因無法打數據庫補丁,建議您在您的數據庫和網絡之間串入一個帶有虛擬補丁功能的數據庫防火墻。

         

        MySQL數據庫安全建議

        由于mysql 多被部署在web端,所以web端本地操作系統的安全對MySQL至關重,和前兩種數據庫不同,在這需要強調下web端給MySQL帶來的風險。

        (1)不要使用nobody身份運行mysql。因為如果其他進行也使用了這個賬戶運行。會出現多進程共享1個賬戶,其中一個進程被攻擊意味著全部都被攻擊。例如APACHE和MySQL都用nobody身份運行,則控制apache的人可以控制MySQL。

        (2)使用--chroot(非windows下)可以確保攻擊者沒有能力去讀或寫操作系統的配置文件。

        (3)關閉不必要的服務或守護進程。主機上攻擊者能訪問的組件越多,攻擊者從這些組件發現機會進而入侵主機的可能性就越大。還是最小原則,不用的組件全部關閉。

        (4)MySQL缺乏對蠻力攻擊的防御能力,而又有固定用戶root,建議root使用一組強力密碼,并把root用戶重名成其他較復雜的名稱。

         

         

        以往典型數據庫安全事件

          

        數千萬社保用戶信息泄全國30余省社保曝高危漏洞

        來源:新浪科技

        圍繞社保系統、戶籍查詢系統、疾控中心、醫院等大量曝出高危漏洞的省市已經超過30個,僅社保類信息安全漏洞統計就達到5279.4萬條,涉及人員數量達數千萬,其中包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息。

        公安部第三研究所所長嚴明在接受《經濟參考報》記者采訪時表示,社保系統包含個人非常隱私的信息,同時也是國家宏觀調控的重要信息和數據來源,一旦系統信息被不法分子進行篡改,后果不堪設想。與此同時,大量個人隱私信息可能被一些人員倒賣獲利,造成經濟方面的損失。

        數據庫安全問題:外部黑客攻擊者進行社保信息竊取,或是內部系統維護或第三方開發人員權限過高,均可能引發大量核心數據泄密,數據庫系統本身的漏洞,更值得做基礎防范。

         

         

        兩億條被竊個人信息數據里連你搬幾次家住幾號都清楚

        摘自《解放軍日報》

        “一管就死,一放就亂?!笔腥舜蟠韰柮饕环?,引來眾人共鳴。

        隨著信息化技術的發展和網絡使用的不斷深入,個人信息似乎沒了安全存放之地。公安部第三研究所所長胡傳平代表提到去年的羅維鄧白氏公司非法買賣公民個人信息案。此案中,警方查獲各類公民個人信息近2億條,企業信息數千萬條。胡傳平說:“我們參與了案子的偵破。讓我大為吃驚的是,當我在他們的數據庫里試著輸入我的名字后,各種信息一目了然,甚至連我搬了幾次家,門牌號分別是什么都一清二楚?!?/p>

        數據庫安全問題:批量個人信息泄漏,關鍵是法律要及時跟進,為其設好‘門崗’。

         

         

        篡改養老保險系統信息社保局股長為致富騙60余萬養老金

        來源:法制日報

        關鍵詞:偽造身份證件·騙取社保資金

        31歲的李生龍,是云南省玉溪市華寧縣社會保險局養老保險股股長,任職3個月,就采取篡改9名已死亡退休人員身份信息的方式,騙取國家社保資金,涉案資金共計67萬余元。而他的動機,竟然是“想快一點住好房子、開好車,快一點縮短與別人的差距”。

        數據庫安全問題:此案雖有個案的特殊性,但是結合近年來此類騙保案件時有發生的背景,也反映出當前社?;饠祿旃芾泶嬖诘穆┒?,需要對數據庫操作進行實時審計,以便事后有效的追責和定責。

         

         

        深圳福彩中心雙色球巨獎騙局

        來源:網易

        深圳市福彩中心值班人員在收到中福彩中心中獎號碼傳真后,進行數據文件中獎數據檢索時發現,封期時從銷售數據庫中導出的兩份數據文件(存于硬盤和光盤中)均報錯,搖獎程序無法正常對文件進行處理。

        經審訊,犯罪嫌疑人程某如實交代了作案過程:程某利用系統實施工作之便,提前獲知數據庫口令。通過植入木馬程序,待中獎號碼公布后,立即啟動木馬程序,修改數據庫中自己購買彩票的號碼。

          數據庫安全問題:數據庫口令防控不嚴,他人可直接使用該用戶及口令,繞過合法業務系統,通過自定義程序直接訪問數據庫,需要通過數據庫防火墻防止繞過合法應用的數據庫訪問,同時對數據庫中敏感數據修改操作全部進行審計。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精