0%

第20章 数据库系统安全

数据库安全概况

数据库安全威胁

  1. 授权的误用
  2. 逻辑推断和汇聚:不敏感数据汇聚推断出敏感数据
  3. 伪装
  4. 旁路控制
  5. 隐蔽信道
  6. SQL注入攻击
  7. 数据库口令密码破解
  8. 硬件及介质攻击

数据库安全隐患

  1. 数据库用户账号和密码隐患
  2. 数据库系统扩展存储过程隐患
  3. 数据库系统软件和应用程序漏洞
  4. 数据库系统权限分配隐患
  5. 数据库系统用户安全意识薄弱
  6. 网络通信内容是明文传递
  7. 数据库系统安全机制不健全

数据库安全需求

  1. 数据库标识与鉴别
  2. 数据库访问控制
  3. 数据库安全审计
  4. 数据库备份与恢复
  5. 数据库加密
  6. 资源限制
  7. 数据库安全加固
  8. 数据库安全管理

数据库安全机制与实现技术

数据库安全机制

数据库加密

加密方式:

  • 数据库网上传输的数据,通常利用SSL协议来实现
  • 数据库存储的数据,通过数据库存储加密来实现

数据库存储加密方式:库内加密和库外加密

常用技术:基于文件的数据库加密技术、基于记录的数据库机密技术、基于字段的数据库文件进行加密

数据库防火墙

安全作用:

  • 屏蔽直接访问数据库的通道
  • 增强认证
  • 攻击检测
  • 防止漏洞利用
  • 防止内部高危操作
  • 防止敏感数据泄露
  • 数据库安全审计

数据库脱敏

常见技术方法:屏蔽、变形、替换、随机、加密

Oracle数据库安全分析与防护

Oracle数据库安全分析

安全机制和技术:用户认证、访问控制(网络和数据对象授权控制)、特权管理、安全审计和数据库防火墙、透明加密

Oracle数据库安全最佳实践

  1. 增强Oracle数据库服务器的操作系统安全
  2. 最小化安装Oracle,删除不必要组件
  3. 安装最新的安全补丁
  4. 删除或修改默认的用户名和密码
  5. 启用认证机制
  6. 设置好的口令密码策略
  7. 设置最小化权限
    • UTL_FILE:读取服务器上文件
    • UTL_HTTP:通过HTTP访问外部资源
    • UTL_TCP:通过TCP建立连接,从网络得到可执行文件
    • UTL_SMTP:通过SMTP转发关键文件
  8. 限制连接Oracle的IP地址
  9. 传输加密
  10. 启用Oracle审计
  11. 定期查看Oracle漏洞发布信息
  12. 实施Oracle灾备计划

MS SQL数据库安全分析与防护

MS SQL安全分析

安全机制:

  1. 用户身份认证

  2. 访问控制:基于角色的访问控制

  3. 数据库加密

  4. 备份、恢复机制

  5. 安全审计

MS SQL Server安全最佳实践

  1. 设置好的数据库密码安全策略
  2. 加强扩展存储过程管理,删除不必要存储过程
  3. 网上数据加密传输
  4. 修改数据库默认的TCP/IP端口号
  5. 对SQL数据库访问的网络连接进行IP限制
  6. 启用SQL Server日志审计,记录所有的用户访问和分析安全事件日志
  7. 定期查看MS SQL Server漏洞发布信息,及时修补漏洞
  8. 保证MS SQL Server的操作系统安全
  9. MS SQL Server安全检测,制定安全容灾备份计划

MySQL数据库安全分析与防护

MySQL安全分析

安全机制包括:

  • 用户身份认证
  • 访问授权:user、db、host、tables_priv和columns_priv5个授权表
  • 安全审计

MySQL安全最佳实践

  1. MySQL安装
  2. 建立MySQL Chrooting运行环境
  3. 关闭MySQL的远程连接
  4. 禁止MySQL导入本地文件
  5. 修改MySQL的root用户ID和密码
  6. 删除MySQL的默认用户和db
  7. 更改MySQL的root用户吗,防止口令暴力破解
  8. 建立应用程序独立使用数据库的用户账号
  9. 安全检测
  10. 安全备份

国产数据库安全分析与防护

国产数据库安全分析

  1. 国产数据库安全漏洞
  2. 国产数据库依赖第三方系统组件的安全
  3. 国产数据库系统安全配置的安全
  4. 国产数据库支持平台的安全

国产数据库安全增强措施

  1. 国产数据库安全漏洞挖掘及扫描
  2. 国产数据库加密
  3. 国产安全数据库
-------本文结束  感谢您的阅读-------