数据库安全综述论文
计算机数据库安全管理研究论文
计算机数据库安全管理研究论文计算机为人们的工作和生活带来了极大的便利,但计算机系统本身也存在着一定的不足与缺陷,其中数据库的安全管理问题面临着巨大的挑战。
下面是店铺给大家推荐的计算机数据库安全管理研究论文,希望大家喜欢!计算机数据库安全管理研究论文篇一《计算机数据库安全管理研究》摘要:计算机为人们的工作和生活带来了极大的便利,但计算机系统本身也存在着一定的不足与缺陷,其中数据库的安全管理问题面临着巨大的挑战。
本文就计算机数据库的安全管理问题进行了简要分析,并提出了相关的一些解决措施。
关键词:计算机数据库安全管理研究随着科技的不断发展,计算机为人们的工作生活带来了极大的便利,越来越多的公司将公司司内部人员的档案,公司内部机密等一些重要文件储存在电脑中。
然而,计算机的大范围使用也让一些不法分子利用计算机存在的一些漏洞侵入公司电脑内部系统,窃取重要文件、商业机密等,对整个公司造成了巨大的威胁。
所以,保证计算机数据库的安全就成了目前最应该解决的问题之一。
因此,我们要积极采取措施来保证公司数据库的安全。
1 计算机数据库的概述及其安全计算机数据库是对一些企业内部的相关数据及重要文件进行的规范化的整理,管理人员通过对所整理的数据及信息进行详细的分析,制定出符合企业运作与发展的方案。
计算机数据库可以说是掌握着企业的生死存亡。
但如今企业对计算机数据库的安全意识较为淡薄,所以要保证计算机数据库的安全一定要制定相应的安全管理措施。
2 简述计算机数据库的安全特性2.1 计算机安全性介绍数据的安全性是计算机数据库安全管理的首要特性。
为确保数据安全性,最好要对所整理的数据进行加密设置,进行有效的加密设置就可以减少外来不法分子对计算机的入侵、减少公司数据库被入侵可能带来的的损失,在一定程度上增强了数据库的安全性。
2.2 计算机完整性的介绍保证计算机数据库的完整性就是先要保证数据的相容性、有效性、正确性。
他们之间存在着连带关系。
数据库安全综述论文
数据库安全综述摘要:数据库技术是目前应用最广泛的一门计算机技术,其安全性越来越重要。
该文讲述了数据库安全含义,数据库存在的安全威胁,常用攻击方法,安全控制策略以及分析了历年发生的几大典型数据泄密事件。
关键字:数据库安全,数据库攻击,安全控制,数据库加密。
随着信息化建设的发展,各种信息系统不断出现,其中数据库扮演者重要角色,其担负着存储和管理数据信息的任务。
这些数据一旦泄露或被破坏,将会对国家或单位造成巨大损失。
目前,很多的信息系统采用的都是Oracle或者SQL Server数据库系统,为了保证数据的安全性、准确性以及一致性,这些数据库系统采用一些技术手段,比如:访问控制、实体和引用完整性控制、值域约束、并发控制和恢复等技术。
但是,对于Oracle或者SQL Server数据库系统来说,仍然存在很多安全隐患,面临着许多攻击。
因此,如何保证与加强数据库的安全性以及性,已成为当前迫切需要解决的热门课题。
一、数据库安全含义于数据库安全的定义,国外有不同的定义。
国外以C. P. Pfleeger “Security in puting – Database Security.PTR,1997”中对数据库安全的定义最具有代表性,被国外许多教材、论文和培训所广泛应用。
他从以下方面对数据库安全进行了描述:(1)物理数据库的完整性:数据库中的数据不被各种自然的或物理的问题而破坏,如电力问题或设备故障等。
(2)逻辑数据库的完整性:对数据库结构的保护,如对其中一个字段的修改不应该破坏其他字段。
(3)元素安全性:存储在数据库中的每个元素都是正确的。
(4)可审计性:可以追踪存取和修改数据库元素的用户。
(5)访问控制:确保只有授权的用户才能访问数据库,这样不同的用户被限制在不同的访问方式。
(6)身份验证:不管是审计追踪或者是对某一数据库的访问都要经过严格的身份验证。
(7)可用性:对授权的用户应该随时可进行应有的数据库访问。
计算机网络论文浅论计算机网络数据库存在的安全措施及威胁
浅论计算机网络数据库存在的安全措施及威胁随着信息化时代的到来,计算机在人们的生产生活中应用的越来越广泛。
借助计算机网络的帮助,生产生活效率大大提高。
但是计算机网络提供信息服务的同时,其风险因素也在不断增加。
受到病毒或者认为的恶意攻击,泄露了用户信息,对于生产和生活产生了重要影响。
所以加强计算机网络安全隐患的研究,找到有效规避风险的方法,保证用户能够放心安全地使用计算机网络成为了众多学者研究的重要课题。
1 网络数据库存在的主要安全隐患1.1 自然环境所带来的危害在我国,每年因为自然灾害对于计算机网络数据库产生的威胁有很多。
首先,因为我国的许多学校或者公司会有机房,但是在这些机房中关于防灾减灾的措施比较少,尤其是关于电源的有效控制。
所以一旦发生灾害,机房中的计算机就会出现故障,突然的断电等会使网络数据库面临一定的安全隐患。
有的时候会使计算机中存储的一些信息丢失,硬件设备难以启动,难以元转,构成比较严重的安全隐患。
1.2 数据库下载面临的威胁当前用户在下载数据库的时候会采用一定的保护数据库的方法,看似比较有效。
但是随着各种破解软件的问世,原始的方法会有一定的危害。
例如,使用一些破解工具就能够把数据库中的信息快速定位,用户从浏览器上下载到电脑上时就能够得到其用户名和密码。
可以说再这样的情况下,用户的网络活动安全性得不到丝毫的保证,存在着巨大的安全隐患。
1.3 注入SOL面临的威胁当前,许多黑客在入侵的时候都会采用注入SOL的方法,它充分利用了程序设计人员没有重视的用户输入数据正确性的漏洞。
通过这种方法,黑客能够正常访问计算机端口,并且与正常浏览网页一样,能够有效避开防火墙的监测。
如果管理人员检查的频率比较低的话,就会更加难以查到有黑客入侵,给网络安全带来了很大的隐患。
1.4 计算机病毒入侵的威胁计算机病毒对于计算机网络信息安全的影响极大。
因为计算机病毒的传播能力和涉及层面的比较大,一旦病毒入侵电脑之后,就会与电脑中某些程序粘在一起。
数据库安全综述
数据库安全综述学号:姓名:院系:邮件:电话:数据库安全综述摘要:本文从数据库安全的定义入手,对用户认证、存取控制、安全管理和数据库加密等数据库安全技术的几个方面进行了讨论,最后指出了数据库安全的发展趋势。
关键词:数据库安全;数据库认证;数据库加密;存取控制1 引言随着计算机技术的飞速发展,数据库已广泛地深入到了各个领域,但随之而来的数据安全问题也越来越凸显出来。
数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。
各种应用系统的数据库中大量数据的安全问题及敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。
高校实践教学管理系统是教务管理系统的重要组成部分,通过该系统对全校实践教学资源统一管理调配、涉及面广、共享性高、环节、安全性要求高,因而从整个系统的安全构架到数据库自身的安全设计显得尤为重要。
2 数据库安全的定义关于数据库安全的定义,在国际上以 C.P.Pfleeger在“Security in Computing–Database Security.PTR,1997”中对数据库安全的定义最具有代表性。
他从以下方面对数据库安全进行了描述:(1)物理数据库的完整性:数据库中的数据不被各种自然的或物理的问题而破坏,如电力问题或设备故障等。
(2)逻辑数据库的完整性:对数据库结构的保护,如对其中一个字段的修改不应该破坏其他字段。
(3)元素安全性:存储在数据库中的每个元素都是正确的。
(4)可审计性:可以追踪存取和修改数据库元素的用户。
(5)访问控制:确保只有授权的用户才能访问数据库,这样不同的用户被限制在不同的访问方式。
(6)身份验证:不管是审计追踪或者是对某一数据库的访问都要经过严格的身份验证。
(7)可用性:对授权的用户应该随时可进行应有的数据库访问。
在中国,数据库的安全定义就是保证数据库信息的保密性、完整性、一致性和可用性。
保密性是指保护数据库中的数据不被泄露和未授权的获取;完整性是指保护数据库中的数据不被破坏和删除;一致性指确保数据库的数据满足实体完整性、参照完整性和用户定义完整性要求;可用性指确保数据库中的数据不因人为的和自然的原因对授权用户不可用。
Web数据库系统安全技术综述
Web数据库系统安全技术综述作者:*** 指导老师:***摘要:Web数据库是基于Internet/Intranet的应用系统,由于互联网的开放性和通信协议的安全缺陷,以及在网络环境中数据存储和对其访问与处理的分布性特点,网上传输的数据容易受到破坏、窃取、篡改、转移和丢失。
这些危害通常是对网络的攻击引起的。
到现在,针对Web数据库的应用级入侵已经变得越来越严重,如何保证Web数据库的安全性已成为新的课题。
本文阐述了Web数据库及其安全性的定义,并由目前数据库面临的安全威胁引出了当前Web数据库的各种安全技术。
关键词:Web数据库数据库入侵安全技术引言:Web数据库是数据库技术与Web技术的结合,这种结合集中了数据库技术与网络技术的优点,既充分利用了大量已有的数据库信息,用户又可以很方便地在Web浏览器上检索和浏览数据库的内容。
但是Web数据库是置于网络环境下,存在很大的安全隐患,如何才能保证和加强数据库的安全性已成为目前必须要解决的问题。
因此对Web数据库安全模式的研究,在Web的数据库管理系统的理论和实践中都具有重要的意义。
1Web数据库及其安全的定义1.1 Web数据库概述随着网络技术的飞速发展,基于Internet/ Internet的B/S(浏览器/服务器)机构的管理信息系统应运而生。
与传统的MIS物理结构不同,该系统只需要在各个客户端简单的安装和运行相同的浏览器,在服务器端安装Web服务器软件和数据库管理系统。
Web数据库将Web技术与数据库技术有机地融合在一起,用户通过浏览器就可以完成对后台数据库中数据的插入、删除、查询和修改等操作[1]。
Web数据库是基于Internet/ Internet的应用系统,由于互联网开放性和通信协议的安全缺陷,以及在网络环境中数据存储和对其访问与处理的分布性特点,网上传输的数据容易受到破坏、窃取、篡改、转移和丢失。
这些危险通常是对网络的攻击引起的。
到现在,针对Web数据库应用级入侵已经变得越来越猖獗,如SQL注入、跨站点脚本攻击和未经授权的用户访问等。
网络环境下的数据库安全综述
管理荔制度㈣磁渊|蟊插锰。
网络环境下的数据库安全综述提要本文提出了网络环境下数据库安全遇到的威胁以及数据库总体安全策略。
通过这些策略来保障数据库系统的完整性、保密性和可用性,抵御针对数据库安全的各种威胁。
关键词:网络;网络数据库;数据库安全中图分类号:F49文献标识码:A一、引言随着网络化开放吲、境的发展,B,s模式的网络应用越来越多,数据库安拿问题也日渐突出。
根据我国GBl7859—19999计算机信息系统安全保护等级划分准则》中的描述:数据库安全就是保证数据库信息的保密性、完整性、一致性和可用性。
网络数据库应用系统是数据库技术与网络技术相结合进行信息处理的系统。
这种结合大大提高了网络功能,同时也将数据库应用延伸剑网络上,发挥数据库强大的数据管理作用。
但是,由于网络连接中存在着种种安全隐患,这些安全隐患也必然会影响网络数据库的安全。
二、网络数据库简介网络数据库就足以后台数据库为基础,加上一定的前台程序提供访问控制,通过浏览器完成数据存储、查询等操作的信息集合。
现在流行的网络数据库主要为BIW/D三层结构模型。
(图1)这个模型由数据库和网络结合而成,分别由浏览器、Web服务器和应用服务器以及数据库服务器三部分组成。
第一层客户端为通用的浏览器软件,是用户与整个系统的接口。
浏览器将代码转化成可提供口文/王静交互功能的网页,允许用户输入信息提交给后台。
并提}H处理请求。
这个后台就是第二层的Web服务器。
服务器将启动栩应的进程来响应请求,并动态生成嵌入处理结果的代码,并返回给客户端浏览器。
如果客户端提交的请求包括数据的存取,Web服务器还需要与数据库服务器协同完成这一请求。
第三层数据库服务器负责协调不同的Web服务器发出的SOL请求,从而有效管理数据库。
三、网络环境下数据库面临的威胁(一)网络数据库的完整性分析。
数据库的完整性指保护数据库中的数据不被破坏和删除,我们主要从操作系统和数据库系统进行分析。
首先,在操作系统下,网络数据库系统都足以文件形式进行管理的,因此入侵者通过网络可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用OS工具非法伪造、篡改数据库文件内容,而且一般网络数据库用户难以察觉。
数据库安全综述
数据库安全综述一、本文概述随着信息技术的飞速发展,数据库作为信息存储和管理的核心组件,其安全性日益受到人们的关注。
数据库安全不仅关系到企业的商业秘密、用户隐私,还直接影响到国家安全和社会稳定。
因此,对数据库安全进行深入研究和综述具有重要的现实意义。
本文旨在全面概述数据库安全领域的研究现状、发展趋势以及面临的挑战。
文章首先介绍了数据库安全的基本概念、特点及其重要性,然后分析了当前数据库安全面临的主要威胁和挑战,包括数据泄露、非法访问、数据篡改等。
接下来,文章重点介绍了数据库安全的研究现状,包括数据库加密、访问控制、入侵检测与防御、安全审计等关键技术的研究进展和应用情况。
文章还对数据库安全的发展趋势进行了展望,包括和大数据技术在数据库安全领域的应用前景。
通过本文的综述,读者可以全面了解数据库安全领域的研究现状和发展趋势,为相关领域的研究和实践提供有益的参考和借鉴。
本文也希望能引起更多学者和业界人士对数据库安全的关注和投入,共同推动数据库安全技术的创新和发展。
二、数据库安全基础数据库安全是信息安全领域的一个重要分支,它主要关注如何保护数据库中的信息免受未经授权的访问、篡改、破坏或泄露。
数据库安全基础主要涉及到访问控制、加密、审计、备份恢复以及安全策略等多个方面。
访问控制:这是数据库安全的核心。
它确保只有经过授权的用户或系统才能访问、修改或删除数据库中的数据。
访问控制通常通过用户身份验证和权限管理来实现。
身份验证是确认用户身份的过程,而权限管理则决定了用户可以对数据库执行哪些操作。
加密:加密是保护数据库中敏感数据的有效手段。
通过对数据进行加密,即使数据在传输或存储过程中被截获,攻击者也无法直接读取其内容。
常见的加密技术包括对称加密(如AES)和非对称加密(如RSA)。
审计:数据库审计是对数据库操作和活动的记录和监控。
通过审计,可以追踪到谁在什么时间对数据库进行了哪些操作,这对于发现潜在的安全威胁和事后追溯非常有帮助。
数据库安全演讲稿范文(3篇)
第1篇尊敬的各位领导、各位嘉宾、各位同仁:大家好!今天,我很荣幸站在这里,与大家共同探讨一个至关重要的议题——数据库安全。
在信息化时代,数据库已经成为企业、机构和个人存储和管理数据的核心。
然而,随着网络技术的飞速发展,数据库面临着前所未有的安全挑战。
因此,加强数据库安全,确保数据的安全性和完整性,已成为我们亟待解决的问题。
下面,我将从以下几个方面展开论述。
一、数据库安全的现状与挑战1. 数据泄露事件频发:近年来,全球范围内发生了多起数据库数据泄露事件,涉及大量个人信息、企业商业机密等。
这些事件给当事人和社会带来了巨大的损失。
2. 黑客攻击日益猖獗:随着黑客技术的不断提升,针对数据库的攻击手段也日益多样化,如SQL注入、暴力破解、网络钓鱼等。
3. 内部威胁加剧:内部员工的不当操作、离职员工的恶意破坏等内部因素,也成为数据库安全的重要隐患。
4. 数据安全法规日益严格:我国政府高度重视数据安全,陆续出台了一系列法规政策,对数据库安全提出了更高的要求。
二、数据库安全的重要性1. 保障个人信息安全:数据库中存储了大量个人信息,一旦泄露,将给个人和社会带来严重后果。
2. 维护企业商业秘密:企业数据库中存储了大量的商业机密,泄露可能导致企业竞争力下降,甚至破产。
3. 确保国家信息安全:国家重要部门数据库的安全直接关系到国家安全,一旦遭受攻击,将带来不可估量的损失。
三、加强数据库安全的措施1. 完善数据库安全管理制度:建立健全数据库安全管理制度,明确各级人员的安全责任,加强安全意识培训。
2. 加强访问控制:严格控制数据库访问权限,实施最小权限原则,确保只有授权人员才能访问敏感数据。
3. 采用加密技术:对敏感数据进行加密存储和传输,防止数据泄露。
4. 定期进行安全审计:定期对数据库进行安全审计,及时发现并修复安全漏洞。
5. 部署安全防护设备:部署防火墙、入侵检测系统、防病毒软件等安全防护设备,提高数据库安全防护能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据库安全综述摘要:数据库技术是目前应用最广泛的一门计算机技术,其安全性越来越重要。
该文讲述了数据库安全含义,数据库存在的安全威胁,常用攻击方法,安全控制策略以及分析了历年发生的几大典型数据泄密事件。
关键字:数据库安全,数据库攻击,安全控制,数据库加密。
随着信息化建设的发展,各种信息系统不断出现,其中数据库扮演者重要角色,其担负着存储和管理数据信息的任务。
这些数据一旦泄露或被破坏,将会对国家或单位造成巨大损失。
目前,很多的信息系统采用的都是Oracle或者SQL Server数据库系统,为了保证数据的安全性、准确性以及一致性,这些数据库系统采用一些技术手段,比如:访问控制、实体和引用完整性控制、值域约束、并发控制和恢复等技术。
但是,对于Oracle或者SQL Server数据库系统来说,仍然存在很多安全隐患,面临着许多攻击。
因此,如何保证与加强数据库的安全性以及保密性,已成为当前迫切需要解决的热门课题。
一、数据库安全含义于数据库安全的定义,国内外有不同的定义。
国外以C. P. Pfleeger “Security in Computing –Database Security.PTR,1997”中对数据库安全的定义最具有代表性,被国外许多教材、论文和培训所广泛应用。
他从以下方面对数据库安全进行了描述:(1)物理数据库的完整性:数据库中的数据不被各种自然的或物理的问题而破坏,如电力问题或设备故障等。
(2)逻辑数据库的完整性:对数据库结构的保护,如对其中一个字段的修改不应该破坏其他字段。
(3)元素安全性:存储在数据库中的每个元素都是正确的。
(4)可审计性:可以追踪存取和修改数据库元素的用户。
(5)访问控制:确保只有授权的用户才能访问数据库,这样不同的用户被限制在不同的访问方式。
(6)身份验证:不管是审计追踪或者是对某一数据库的访问都要经过严格的身份验证。
(7)可用性:对授权的用户应该随时可进行应有的数据库访问。
本文采用我国GB17859-1999《计算机信息系统安全保护等级划分准则》中的《中华人民共和国公共安全行业标准GA/T 389-2002》“计算机信息系统安全等级保护数据库管理系统技术要求”对数据库安全的定义:数据库安全就是保证数据库信息的保密性、完整性、一致性和可用性。
保密性指的是保护数据库中的数据不被泄露和未授权的获取;完整性指的是保护数据库中的数据不被破坏和删除;一致性指的是确保数据库中的数据满足实体完整性、参照完整性和用户定义完整性要求;可用性指的是确保数据库中的数据不因人为的和自然的原因对授权用户不可用。
当数据库被使用时,应确保合法用户得到数据的正确性,同时要保护数据免受威胁,确保数据的完整性。
数据库不仅储存数据,还要为使用者提供信息。
应该确保合法用户应当在一定规则的控制和约束下使用数据库,同时应当防止入侵者或非授权者非法访问数据库。
数据库的安全主要应由数据库管理系统(DataBase Management System,DBMS)来维护,但是操作系统、网络和应用程序与数据库安全的关系也是十分紧密的,因为用户要通过它们来访问数据库,况且和数据库安全密切相关的用户认证等其他技术也是通过它们来实现的。
二、数据库安全威胁2.1滥用过高权限当用户(或应用程序)被授予超出了其工作职能所需的数据库访问权限时,这些权限可能会被恶意滥用。
例如,一个大学管理员在工作中只需要能够更改学生的联系信息,不过他可能会利用过高的数据库更新权限来更改分数。
2.2滥用合法权用户还可能将合法的数据库权限用于未经授权的目的。
假设一个恶意的医务人员拥有可以通过自定义Web应用程序查看单个患者病历的权限。
通常情况下,该Web应用程序的结构限制用户只能查看单个患者的病史,即无法同时查看多个患者的病历并且不允许复制电子副本。
但是,恶意的医务人员可以通过使用其他客户端(如MS:Excel)连接到数据库,来规避这些限制。
通过使用MS:Excel 以及合法的登录凭据,该医务人员就可以检索和保存所有患者的病历。
这种私自复制患者病历数据库的副本的做法不可能符合任何医疗组织的患者数据保护策略。
要考虑两点风险。
第一点是恶意的医务人员会将患者病历用于金钱交易。
第二点可能更为常见,即员工由于疏忽将检索到的大量信息存储在自己的客户端计算机上,用于合法工作目的。
一旦数据存在于终端计算机上,就可能成为特洛伊木马程序以及笔记本电脑盗窃等的攻击目标。
2.3权限提升攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权限。
漏洞可以在存储过程、内置函数、协议实现甚至是SQL语句中找到。
例如,一个金融机构的软件开发人员可以利用有漏洞的函数来获得数据库管理权限。
使用管理权限,恶意的开发人员可以禁用审计机制、开设伪造的帐户以及转帐等。
2.4平台漏洞底层操作系统(Windows2000、UNIX等)中的漏洞和安装在数据库服务器上的其他服务中的漏洞可能导致未经授权的访问、数据破坏或拒绝服务。
例如,“冲击波病毒”就是利用了Windows2000的漏洞为拒绝服务攻击创造条件。
2.5 SQL注入在SQL注入攻击中,入侵者通常将未经授权的数据库语句插入(或“注入”)到有漏洞的SQL数据信道中。
通常情况下,攻击所针对的数据信道包括存储过程和Web应用程序输入参数。
然后,这些注入的语句被传递到数据库中并在数据库中执行。
使用SQL注入,攻击者可以不受限制地访问整个数据库。
防止SQL 注入将以下三个技术结合使用可以有效地抵御SQL注入:入侵防御系统(IPS)、查询级别访问控制(请参阅“滥用过高权限”)和事件相关。
IPS可以识别有漏洞的存储过程或SQL注入字符串。
但是,单独使用IPS并不可靠,因为SQL注入字符串很容易发生误报。
如果只依赖IPS,安全管理人员会发现大量“可能的”SQL注入警报,被搞得焦头烂额。
2.6审计记录不足自动记录所有敏感的和/或异常的数据库事务应该是所有数据库部署基础的一部分。
如果数据库审计策略不足,则组织将在很多级别上面临严重风险。
2.7拒绝服务拒绝服务(DOS)是一个宽泛的攻击类别,在此攻击中正常用户对网络应用程序或数据的访问被拒绝。
可以通过多种技巧为拒绝服务(DOS)攻击创造条件,其中很多都与上文提到的漏洞有关。
例如,可以利用数据库平台漏洞来制造拒绝服务攻击,从而使服务器崩溃。
其他常见的拒绝服务攻击技巧包括数据破坏、网络泛洪和服务器资源过载(内存、CPU等)。
资源过载在数据库环境中尤为普遍。
2.8数据库通信协议漏洞在所有数据库供应商的数据库通信协议中,发现了越来越多的安全漏洞。
在两个最新的IBMDB2FixPack中,七个安全修复程序中有四个是针对协议漏洞1。
同样地,最新的Oracle季度补丁程序所修复的23个数据库漏洞中有11个与协议有关。
针对这些漏洞的欺骗性活动包括未经授权的数据访问、数据破坏以及拒绝服务。
例如,SQLSlammer2蠕虫就是利用了MicrosoftSQLServer协议中的漏洞实施拒绝服务攻击。
更糟糕的是,由于自身数据库审计机制不审计协议操作,所以在自身审计记录中不存在这些欺骗性活动的记录。
2.9身份验证不足薄弱的身份验证方案可以使攻击者窃取或以其他方法获得登录凭据,从而获取合法的数据库用户的身份。
攻击者可以采取很多策略来获取凭据。
1)暴力:攻击者不断地输入用户名/密码组合,直到找到可以登录的一组。
暴力过程可能是靠猜测,也可能是系统地枚举可能的用户名/密码组合。
通常,攻击者会使用自动化程序来加快暴力过程的速度。
2)人际关系:攻击者利用人天生容易相信别人的倾向来获取他人的信任,从而获得其登录凭据。
例如,攻击者可能在电话中伪装成一名IT经理,以“系统维护”为由要求提供登录凭据。
3)直接窃取凭据:攻击者可能通过抄写即时贴上的内容或复制密码文件来窃取登录凭据。
2.10备份数据暴露经常情况下,备份数据库存储介质对于攻击者是毫无防护措施的。
因此,在若干起著名的安全破坏活动中,都是数据库备份磁带和硬盘被盗。
防止备份数据暴露所有数据库备份都应加密。
实际上,某些供应商已经建议在未来的DBMS 产品中不应支持创建未加密的备份。
建议经常对联机的生产数据库信息进行加密,但是由于性能问题和密钥管理不善问题,这一加密方法通常是不现实的,并且一般被公认为是上文介绍的细化的权限控制的不理想的替代方法。
三、常用攻击方法3.1 宿主网络攻击方法对宿主网络进行攻击,主要威胁数据的保密性和可用性,主要攻击方法:1)网络嗅探。
对于一些网络数据库来说,其在网络上进行数据传输都采用明文方式,而TCP/IP 协议自身又没有加密机制,因此很容易被攻击者对网络上传输的信息进行嗅探,以获得有价值的信息。
2)拒绝服务攻击。
由于TCP/IP 协议的脆弱性,攻击者很容易对数据库服务器进行DoS 攻击,使其系统瘫痪或者无法响应正常的服务请求。
常见的DoS 攻击包括:SYN Flood 攻击、Ping 攻击、Smurf攻击、分布式拒绝服务攻击、地址欺骗攻击等3.2宿主操作系统攻击方法一些攻击者在入侵数据库系统之前,首先控制其宿主操作系统,进而实现对数据库系统操作或者获取数据库文件。
1)口令破解。
攻击者可以采用弱口令扫描或者蛮力破解的方法,获取系统口令,进而取得系统访问权,以实现对数据库系统的访问,或者获取数据库文件。
2)漏洞攻击。
由于目前所使用的操作系统存在很多漏洞,这些漏洞很有可能被攻击者利用,对操作系统进行攻击,进而对数据库系统进行攻击。
3)木马。
木马的功能各种各样,植入方式令人防不胜防。
而攻击者可以通过木马植入以实现对操作系统和数据库系统的控制,获取数据文件,达到对数据库攻击的目的。
3.3 数据库系统攻击方法由于数据库系统自身存在一定的安全隐患,因此存在一些可直接对其进行攻击的技术与方法。
1)口令入侵。
早期的Oracle ,SQL Server 数据库都有默认的用户名和密码,如Oracle 有一个默认的用户名Scott,以及默认的口令tiger;微软的SQL Server sa账户。
这些默认的登录对于黑客来说尤其方便,借此他们可以轻松地进入数据库。
现在,主要的数据库厂商在其新版本的产品中对其进行了弥补,它们不再让用户保持默认的和空的用户名及口令。
但即使是唯一的、非默认的数据库口令也是不安全的,通过暴力破解就可以轻易地找到弱口令。
2)特权提升。
特权提升通常与管理员错误的配置有关如一个用户被误授予超过其实际需要的访问权限。
另外,拥有一定访问权限的用户可以轻松地从一个应用程序跳转到数据库,即使他并没有这个数据库的相关访问权限。
黑客只需要得到少量特权的用户口令,就可以进入了数据库系统,然后访问读取数据库内的任何表,包括信用卡信息、个人信息。