日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
網(wǎng)絡安全攻防:數(shù)據(jù)庫安全

數(shù)據(jù)庫安全有兩個方面:一是數(shù)據(jù)庫物理安全,指的是運行數(shù)據(jù)庫的服務器、傳輸數(shù)據(jù)的線路等設備的正常運行,不被外力破壞、不因網(wǎng)絡擁塞而不可用、預防因元器件老化而造成損失;二是數(shù)據(jù)庫邏輯安全,數(shù)據(jù)庫中最重要的是數(shù)據(jù),要保證數(shù)據(jù)不因黑客入侵而丟失或泄露,不因程序崩潰而損壞,數(shù)據(jù)存儲方式合理有序,存取方便快捷。

讓客戶滿意是我們工作的目標,不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術通過有效、簡單的方式提供給客戶,將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴,公司提供的服務項目有:國際域名空間、虛擬主機、營銷軟件、網(wǎng)站建設、衢江網(wǎng)站維護、網(wǎng)站推廣。

對數(shù)據(jù)的安全保障包括幾個方面,分別為數(shù)據(jù)獨立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、并發(fā)控制、故障恢復等。

數(shù)據(jù)獨立性包括物理獨立性和邏輯獨立性兩個方面。物理獨立性是指用戶的應用程序與存儲在磁盤上的數(shù)據(jù)庫中的數(shù)據(jù)是相互獨立的,邏輯獨立性是指用戶的應用程序與數(shù)據(jù)庫的邏輯結構是相互獨立的。

數(shù)據(jù)安全性要求數(shù)據(jù)需要按照需求以一定結構合理存儲,利用訪問控制增加數(shù)據(jù)被竊取的可能性,利用加密存儲增加對數(shù)據(jù)竊取的犯罪成本,從而減少風險。

數(shù)據(jù)完整性包括數(shù)據(jù)的正確性、有效性和一致性。正確性是指數(shù)據(jù)的輸入值與數(shù)據(jù)表對應域的數(shù)值、類型相同;有效性是指數(shù)據(jù)庫中的數(shù)值約束滿足現(xiàn)實應用中對該數(shù)值段的理論范圍;一致性是指不同用戶對同一數(shù)據(jù)的使用方法和理解應該是一樣的。

并發(fā):當多個用戶同時訪問數(shù)據(jù)庫的同一資源時,多個資源的讀寫順序不同將導致不同的結果,因此需要并發(fā)控制。當一位用戶正在連續(xù)操作該數(shù)據(jù)時,有另一位用戶中途讀出改數(shù)據(jù),則會讀到不正確的數(shù)據(jù),被稱為數(shù)據(jù)臟讀。這時就需要對這種并發(fā)操作施行控制,排除和避免這種錯誤的發(fā)生,保證數(shù)據(jù)的正確性。

故障恢復:數(shù)據(jù)庫因軟件原因(如計算機病毒、網(wǎng)絡不穩(wěn)定、程序Bug、誤操作等)或物理原因(如突然斷電、自然災害、硬件老化等)導致數(shù)據(jù)的損壞,應存在一種恢復機制,使損失降到最小。

01 MySQL安全配置

1. 修改Root用戶口令,刪除空口令

在MySQL控制臺中執(zhí)行如下代碼,將newpass換成實際的口令即可。 

 
 
 
    
  
  
  
  1. mysql> SET PASSWORD FOR‘root’@’lo calhost’=PASSWORD(’newpass’);  
    2. 
  
  
  
  2. Query OK,0 rows affected,1 warning(0.01 sec) 
    3.

2. 刪除默認數(shù)據(jù)庫和數(shù)據(jù)庫用戶

MySQL默認安裝后帶有test等數(shù)據(jù)庫用于測試,可能帶來不安全因素,因此將其移除,如下: 

 
 
 
    
  
  
  
  1. mysql> DROP DATABASE test;  
    2. 
  
  
  
  2. Query OK,0 rows affected(0.00 sec) 
    3.

有些MySQL數(shù)據(jù)庫的匿名用戶的口令為空。因而,任何人都可以連接到這些數(shù)據(jù)庫??梢杂孟旅娴拿钸M行檢查: 

 
 
 
    
  
  
  
  1. mysql> select * frommysql.user where user=""; 
    2.

3. 改變默認MySQL管理員帳號

首先創(chuàng)建一個與Root用戶權限一樣的用戶。如下所示: 

 
 
 
    
  
  
  
  1. mysql> GRANT ALL PRIVILEGES ON *.* TO 'new_admin'@'127.0.0.1' IDENTIFIED BY 'password';  
    2. 
  
  
  
  2. Query OK,0 rows affected,1 warning(0.02 sec) 
    3.

刪除默認的Root用戶,如下。 

 
 
 
    
  
  
  
  1. mysql> drop user root@'127.0.0.1';  
    2. 
  
  
  
  2. mysql> drop user root@'lo calhost';  
    3. 
  
  
  
  3. mysql> drop user root@'::1';  
    4. 
  
  
  
  4. Query OK,0 rows affected(0.04 sec) 
    5.

4. 使用獨立用戶運行MySQL

在一個安全系統(tǒng)中使用一個權限較低的獨立系統(tǒng)用戶運行MySQL,即使在MySQL存在安全問題時,也能有效地阻止黑客進一步入侵。

5. 禁止遠程連接數(shù)據(jù)庫

在my.cnf或my.ini的[mysqld]部分配置如下參數(shù),可以關閉在TCP/IP端口上的監(jiān)聽進而達到保證安全的效果。

 
 
 
    
  
  
  
  1. skip-networking 
    2.

也可以僅監(jiān)聽本機,方法是在my.cnf的[mysqld]部分增加下面一行。 

 
 
 
    
  
  
  
  1. bind-address=127.0.0.1 
    2.

若不得不啟用遠程連接數(shù)據(jù)庫,則可以對目標的主機給予有限的訪問許可。 

 
 
 
    
  
  
  
  1. mysql>GRANT SELECT,INSERT ON mydb.* TO 'username'@'host_ip'; 
    2.

6. 限制連接用戶的數(shù)量

限制最大連接數(shù),可以增加黑客暴力攻擊數(shù)據(jù)庫所需時間,增加攻擊被發(fā)現(xiàn)的可能性,從而增加安全性。

可以在my.ini或my.cnf查找max_connections=100,修改為max_connections=1000服務里重啟MySQL?;蛴萌缦旅钚薷淖畲筮B接數(shù)。 

 
 
 
    
  
  
  
  1. mysql> set GLOBAL max_connections=100;  
    2. 
  
  
  
  2. Query OK,0 rows affected(0.00 sec) 
    3.

7. 用戶目錄權限限制

安裝時,MySQL以Root用戶權限進行安裝,軟件默認都為Root權限。

安裝完畢后,需要將數(shù)據(jù)目錄權限設置為實際運行MySQL的用戶權限,如下。 

 
 
 
    
  
  
  
  1. chown –R mysql:mysql/home/mysql/data 
    2.

8. 命令歷史記錄保護

MySQL在用戶的主目錄下會生成一個.mysql_history的文件,該文件記錄用戶敲過的每條命令。該文件可能泄露數(shù)據(jù)庫結構甚至密碼等敏感信息,因此,要及時清除或阻止該文件的生成。

可以通過將日志文件定向到/dev/null的方法,阻止該文件的生成。 

 
 
 
    
  
  
  
  1. $export MYSQL_HISTFILE=/dev/null 
    2.

9. 禁止MySQL對本地文件存取

LOAD DATA LOCAL INFILE可以從文件系統(tǒng)中讀取文件,并顯示在屏幕中或保存在數(shù)據(jù)庫中。結合注入漏洞可以實現(xiàn)進一步的攻擊??梢栽趍y.cnf配置文件中的[mysqld]部分增加下面一行以禁止這一功能。 

 
 
 
    
  
  
  
  1. set-variable=lo cal-infile=0 
    2.

10. MySQL服務器權限控制

數(shù)據(jù)庫架構在服務器之上,服務器安全是數(shù)據(jù)庫安全的基本保證。服務器上眾多軟件的權限控制合理,也是數(shù)據(jù)庫安全的必要保障。

11. MySQL數(shù)據(jù)庫權限控制

不僅是服務器有不同的權限控制,MySQL 數(shù)據(jù)庫內部也應有嚴格的權限控制機制,針對不同的用戶,應設置不同的權限。MySQL內置了CREATE、DROP、GRANT OPTION、REFERENCES等26種操作權限的控制,面向表、列、過程等對象,令每一位用戶的每一條查詢都有明確的權限界定,絕不越界。

為了安全考慮,設定權限時需要遵循以下幾個原則。

(1)只授予能滿足需要的最小權限,防止用戶干壞事。例如,用戶只是需要查詢,那就只給select權限就可以了,不要給用戶賦予update、insert或delete權限。

(2)創(chuàng)建用戶的時候限制用戶的登錄主機,一般是限制成指定IP或內網(wǎng)IP段。

(3)初始化數(shù)據(jù)庫的時候刪除沒有密碼的用戶。安裝完數(shù)據(jù)庫的時候會自動創(chuàng)建一些用戶,這些用戶默認沒有密碼。

(4)為每個用戶設置滿足密碼復雜度的密碼。

(5)定期清理不需要的用戶,回收權限或刪除用戶。

02 MySQL數(shù)據(jù)庫加密

數(shù)據(jù)庫中的很多敏感字段,不允許隨意查看,開發(fā)人員、運維人員甚至是數(shù)據(jù)庫管理員也不允許查看,因此,要對數(shù)據(jù)庫數(shù)據(jù)進行加密存放,更主要的是防止黑客脫庫。

開發(fā)人員負責程序和加密算法的開發(fā)部署,運維人員負責配置程序的安裝和密鑰的配置,但與數(shù)據(jù)庫不直接接觸,數(shù)據(jù)庫管理員負責數(shù)據(jù)庫的維護和管理,但不知道密鑰以及加密算法,無法解密數(shù)據(jù)庫中的數(shù)據(jù)內容。通過這樣的分塊管理,保證數(shù)據(jù)庫數(shù)據(jù)的安全。

運行如下SQL語句: 

 
 
 
    
  
  
  
  1. INSERT INTO `admin`(`id`,`name`,`pass`)VALUES('1','admin',AES_ENCRYPT('admin','key')) 
    2.

插入到表中的數(shù)據(jù)如圖1所示。

圖1  插入表中的數(shù)據(jù)

通過查詢語句: 

 
 
 
    
  
  
  
  1. SELECT `id`,`name`,AES_DECRYPT(`pass`,'key')FROM `admin` 
    2.

可以看到表中內容,如圖2所示。

圖2  查詢表中內容

而通常 key 通過配置文件得到,數(shù)據(jù)庫管理無法得知 key,因此,即使能看到數(shù)據(jù)集,也得不到用戶密碼。黑客即使脫庫,在沒有key的情況下用戶數(shù)據(jù)仍處于較安全狀態(tài)。

03 數(shù)據(jù)庫審計

數(shù)據(jù)庫審計(DBAudit),是實時記錄數(shù)據(jù)庫活動情況,對數(shù)據(jù)庫操作進行分析審查,用來發(fā)現(xiàn)可能遭受或正在遭受的攻擊,并及時處理的一種安全保障措施。

審計記錄包括有關已審計的操作、執(zhí)行操作的用戶以及操作的時間和日期的信息。審計記錄可以存儲在數(shù)據(jù)庫審計線索中或操作系統(tǒng)上的文件中。標準審計包括有關權限、模式、對象和語句的操作。

通過審計分析,可以得知數(shù)據(jù)庫的運行狀況、數(shù)據(jù)庫命令的執(zhí)行情況、最慢SQL語句、訪問量最大SQL語句、最大吞吐量、最大并發(fā)數(shù)等情況,用于系統(tǒng)的優(yōu)化??删_定位錯誤和入侵,便于系統(tǒng)維護和加固,便于取證和追責。

04 數(shù)據(jù)庫漏洞掃描

數(shù)據(jù)庫漏洞掃描是對數(shù)據(jù)庫系統(tǒng)進行自動化安全評估的專業(yè)技術,在獲得一個能全面覆蓋數(shù)據(jù)庫安全隱患的知識庫前提下,對應每一條安全漏洞知識,預定義掃描策略集合,利用該集合匹配目標數(shù)據(jù)庫系統(tǒng),從而發(fā)現(xiàn)其中的問題和缺陷。根據(jù)已有知識庫中的知識,評判該漏洞危害性,并給出參考的修復方案。

該技術將繁雜緩慢的人工查漏改為更為高效的機器查漏,將被動等待攻擊改為主動模擬攻擊發(fā)現(xiàn)漏洞,將抽象的漏洞情況以報表的形式有序呈現(xiàn)給用戶,讓用戶更清晰地認識到漏洞的危害情況與系統(tǒng)當前狀態(tài)的安全狀態(tài),并將復雜的補漏過程簡化為補丁形式,極大地方便了用戶搭建管理安全、高效的數(shù)據(jù)庫系統(tǒng)。

05 數(shù)據(jù)庫防火墻

數(shù)據(jù)庫防火墻系統(tǒng)(DBFirewall)是基于數(shù)據(jù)庫協(xié)議分析與控制技術的數(shù)據(jù)庫安全防護系統(tǒng)。DBFirewall基于主動防御機制,實現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險操作阻斷、可疑行為審計。其利用SQL特征捕獲阻斷SQL注入行為,防止Web應用的SQL注入漏洞進一步產生危害。限定數(shù)據(jù)查詢和下載數(shù)量,限定敏感數(shù)據(jù)訪問的用戶、地點和時間,防止敏感數(shù)據(jù)大量泄露,追蹤審定非法行為,對非法操作詳細記錄,以供時候追蹤和定責。

06 數(shù)據(jù)庫脫敏

數(shù)據(jù)庫脫敏是指對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形,實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護。在涉及客戶安全數(shù)據(jù)或一些商業(yè)性敏感數(shù)據(jù)的情況下,在不違反系統(tǒng)規(guī)則條件下,對真實數(shù)據(jù)進行改造并提供測試使用,并仍能保證其有效性(保持原有數(shù)據(jù)類型和業(yè)務格式要求)、完整性(保證長度不變化、數(shù)據(jù)內涵不丟失)、關系性(保持表間數(shù)據(jù)關聯(lián)關系、表內數(shù)據(jù)關聯(lián)關系)。身份證號、手機號、卡號、客戶號等個人信息都需要進行數(shù)據(jù)脫敏。


當前名稱:網(wǎng)絡安全攻防:數(shù)據(jù)庫安全
網(wǎng)頁地址:http://www.5511xx.com/article/djcpssg.html