2012年需关注的六大数据库风险（下）

我也说几句2012年04月08日 20:06分         作者：茫然      来源：TechTarget中国

数据库的安全风险一直是业界关注的重点。2012年，企业面临的数据库风险将有增无减。在《2012年需关注的六大数据库风险(上)》中，我们介绍了三种企业应考虑的三种风险，接下来介绍剩下三种。

四、错误配置

黑客可以使用数据库的错误配置控制“肉机”访问点，借以绕过认证方法并访问敏感信息。这种配置缺陷成为攻击者借助特权提升发动某些攻击的主要手段。如果没有正确的重新设置数据库的默认配置，非特权用户就有可能访问未加密的文件，未打补丁的漏洞就有可能导致非授权用户访问敏感数据。

1、修复默认的、空白的、弱口令。确保所有的数据库都拥有复杂的口令，并清除空白的、默认的及弱口令。要保证每一个实例都使用独立的口令，要强化企业当前正在使用的口令策略，并将其扩展到所有的网络登录中。如果数据库支持，可以考虑使用网络认证，如活动目录，而不使用用户名和口令认证。

2、加密静态和动态的敏感数据。不要把敏感数据以明文形式存放到数据库中的表中。通过修复数据库漏洞，并密切监视对敏感数据存储的访问，数据库专业人员可以发现并阻止攻击。防御SQL注入攻击要求一种多层的方法，保护措施必须与端到端的检查结合起来，这意味着无论是Web应用程序还是数据库的基础架构都要纳入到解决方案中。

五、未打补丁的漏洞

如今攻击已经从公开的漏洞利用发展到更精细的方法，并敢于挑战传统的入侵检测机制。漏洞利用的脚本在数据库补丁发布的几小时内就可以被发到网上。当即就可以使用的漏洞利用代码，再加上几十天的补丁周期(在多数企业中如此)，实质上几乎把数据库的大门完全打开了。

使用专业工具发现并修复这些漏洞，然后再结合监视没有打补丁的漏洞可以保护企业免受这种风险。

六、高级持续性威胁

之所以称其为高级持续性威胁，是因为实施这种威胁的是有组织的专业公司或政府机构，它们掌握了威胁数据库安全的大量技术和技巧，而且是“咬定青山不放松”“立根原在‘金钱(有资金支持)’中”,“千磨万击还坚劲，任尔东西南北风”。这是一种正甚嚣尘上的风险：热衷于窃取数据的公司甚至外国政府专门窃取存储在数据库中的大量关键数据，不再满足于获得一些简单的数据。特别是一些个人的私密及金融信息，一旦失窃，这些数据记录就可以在信息黑市上销售或使用，并被其它政府机构操纵。鉴于数据库攻击涉及到成千上万甚至上百万的记录，所以其日益增长和普遍。通过锁定数据库漏洞并密切监视对关键数据存储的访问，数据库的专家们可以及时发现并阻止这些攻击。

小结：将安全作为一个过程

不少企业的安全解决方案是作为应对已知风险的一系列技术而部署的，而不是作为一种保障企业安全的综合方法和过程。安全并不是购买并部署了安全产品那么简单，它是一个需要持续关注的过程。例如，在企业部署了Web应用程序防火墙后，还应当经常检查其有效性和可用性，随着业务的开展而对其进行调整。再比如，在购买了某软件后，你还得关注它有没有漏洞，开发商什么时候提供补丁下载和安装。

此外，企业如果不把对雇员的教育放在首位，任何安全措施都会成为空谈。所以，构建一种能够随着企业的增长和变化而演变的系统化的动态过程，才能更有效地保障当今的动态环境。