10個(gè)常見(jiàn)的數(shù)據(jù)庫(kù)安全問(wèn)題

數(shù)據(jù)庫(kù)因包含有各種有價(jià)值的敏感信息，例如金融或知識(shí)產(chǎn)權(quán)信息、公司數(shù)據(jù)、個(gè)人用戶數(shù)據(jù)等等，一直是黑客攻擊的目標(biāo)，黑客企圖通過(guò)破壞服務(wù)器、數(shù)據(jù)庫(kù)來(lái)獲利，因此，數(shù)據(jù)庫(kù)安全測(cè)試是必不可少的。

黑客攻擊公司的事件比比皆是，過(guò)去的幾年中，Equifax，F(xiàn)acebook，雅虎，蘋果，Gmail，Slack和eBay都曾發(fā)生過(guò)數(shù)據(jù)泄露事。而這種情況也引發(fā)了企業(yè)對(duì)網(wǎng)絡(luò)安全軟件和web應(yīng)用程序測(cè)試的需求，通過(guò)采用這些措施，黑客將被拒絕訪問(wèn)在線數(shù)據(jù)庫(kù)中的可用記錄和文檔。另外，嚴(yán)格遵守GDPR有助于加強(qiáng)用戶數(shù)據(jù)保護(hù)。

那么數(shù)據(jù)庫(kù)驅(qū)動(dòng)系統(tǒng)中常見(jiàn)的漏洞有哪些呢？我們總結(jié)了常見(jiàn)的十大漏洞以及消除這些漏洞的技巧。

部署前無(wú)安全測(cè)試

數(shù)據(jù)庫(kù)被攻擊最常見(jiàn)的原因之一就是在開(kāi)發(fā)過(guò)程中部署階段的疏忽。雖然為了確保高性能，企業(yè)可能進(jìn)行了功能測(cè)試，但是這種類型的測(cè)試無(wú)法顯示數(shù)據(jù)庫(kù)是否正在執(zhí)行不應(yīng)該執(zhí)行的操作。因此，在完全部署之前，使用不同類型的測(cè)試來(lái)測(cè)試網(wǎng)站安全性是非常重要的。

糟糕的加密與數(shù)據(jù)泄露密不可分

很多人都會(huì)把數(shù)據(jù)庫(kù)視為后端部分，因此更多的是在關(guān)注Internet傳播的威脅，但其實(shí)他們都忽略了數(shù)據(jù)庫(kù)也是有網(wǎng)絡(luò)接口的，如果軟件安全性很差，黑客同樣可以輕松跟蹤這些接口。為了避免這種情況，使用TLS或SSL加密通信平臺(tái)很重要。

虛弱的網(wǎng)絡(luò)安全軟件=破碎的數(shù)據(jù)庫(kù)

Equifax數(shù)據(jù)泄露事件，公司承認(rèn)有1.47億消費(fèi)者的數(shù)據(jù)受到損害，造成的后果非常嚴(yán)重。這個(gè)案例證明了網(wǎng)絡(luò)安全軟件對(duì)于保護(hù)數(shù)據(jù)庫(kù)的重要性。不過(guò)，大多數(shù)企業(yè)因?yàn)槿狈Y源或時(shí)間原因不愿意進(jìn)行用戶數(shù)據(jù)安全測(cè)試，甚至也不為系統(tǒng)提供定期補(bǔ)丁，因此容易導(dǎo)致數(shù)據(jù)泄露。

數(shù)據(jù)庫(kù)被盜

數(shù)據(jù)庫(kù)一般有兩種威脅：外部威脅和內(nèi)部威脅。在某些情況下，內(nèi)部威脅的嚴(yán)重程度甚至?xí)^(guò)外部威脅，因?yàn)闊o(wú)論企業(yè)使用什么樣的安全軟件都無(wú)法保證員工的忠誠(chéng)度，任何有權(quán)訪問(wèn)敏感數(shù)據(jù)的人都有機(jī)會(huì)竊取它并將其出售給第三方組織以獲取利潤(rùn)。但是，有一種方法可以消除風(fēng)險(xiǎn)：加密數(shù)據(jù)庫(kù)檔案，實(shí)施嚴(yán)格的安全標(biāo)準(zhǔn)，在違規(guī)情況下罰款，使用網(wǎng)絡(luò)安全軟件，并通過(guò)公司會(huì)議和個(gè)人咨詢不斷提高團(tuán)隊(duì)的意識(shí)。

功能中的缺陷成為了數(shù)據(jù)庫(kù)安全問(wèn)題

黑客可以利用數(shù)據(jù)庫(kù)的功能缺陷進(jìn)行攻擊，通過(guò)破解合法憑據(jù)并強(qiáng)制系統(tǒng)運(yùn)行任意代碼。雖然這聽(tīng)起來(lái)有點(diǎn)復(fù)雜，但這是基于功能固有的缺陷，所以可以通過(guò)安全測(cè)試保護(hù)數(shù)據(jù)庫(kù)免受第三方訪問(wèn)。此外，其功能結(jié)構(gòu)越簡(jiǎn)單，確保對(duì)每個(gè)數(shù)據(jù)庫(kù)功能進(jìn)行良好保護(hù)的機(jī)會(huì)就越多。

弱而復(fù)雜的數(shù)據(jù)庫(kù)基礎(chǔ)架構(gòu)

黑客通常不會(huì)一次控制整個(gè)數(shù)據(jù)庫(kù)，他們會(huì)利用基礎(chǔ)設(shè)施中存在的特殊弱點(diǎn)并將其用于自己的優(yōu)勢(shì)。安全軟件無(wú)法完全保護(hù)系統(tǒng)免受此類操作。即使想要避免功能缺陷，就不要讓整個(gè)數(shù)據(jù)庫(kù)基礎(chǔ)結(jié)構(gòu)過(guò)于復(fù)雜。當(dāng)它很復(fù)雜時(shí)，你有可能忘記或忽視檢查和修復(fù)它的弱點(diǎn)。因此，重要的是每個(gè)部門保持相同的控制量并隔離系統(tǒng)以分散重點(diǎn)并降低可能的風(fēng)險(xiǎn)。

無(wú)限的管理訪問(wèn)=糟糕的數(shù)據(jù)保護(hù)

管理員和用戶之間應(yīng)該有明確的分工，確保團(tuán)隊(duì)是有限制性的訪問(wèn)，這樣如果有用戶試圖竊取任何數(shù)據(jù)，那么也會(huì)因未參與數(shù)據(jù)庫(kù)管理的過(guò)程而遇到更多困難。如果還可以限制用戶帳戶的數(shù)量，那就更好了，因?yàn)楹诳鸵矔?huì)在獲得對(duì)數(shù)據(jù)庫(kù)的控制權(quán)方面遇到更多問(wèn)題。這種情況通常會(huì)發(fā)生在金融行業(yè)，他們不僅要關(guān)心誰(shuí)有權(quán)訪問(wèn)敏感數(shù)據(jù)，還要在發(fā)布之前執(zhí)行銀行軟件測(cè)試。

測(cè)試網(wǎng)站安全性以避免SQL注入

因?yàn)樽⑷牍魬?yīng)用程序，數(shù)據(jù)庫(kù)管理員被迫清除插入到字符串中的惡意代碼和變量。Web應(yīng)用程序安全測(cè)試和防火墻實(shí)施是保護(hù)面向Web數(shù)據(jù)庫(kù)的最佳選擇。不過(guò)，這對(duì)于在線業(yè)務(wù)來(lái)說(shuō)是一個(gè)大問(wèn)題，但對(duì)于移動(dòng)業(yè)務(wù)來(lái)說(shuō)卻不是挑戰(zhàn)，而對(duì)于只有移動(dòng)版本的應(yīng)用程序來(lái)說(shuō)這是一個(gè)很大的優(yōu)勢(shì)。

密鑰管理不足

對(duì)敏感數(shù)據(jù)進(jìn)行加密是很重要的，但同樣重要的是要注意誰(shuí)可以訪問(wèn)密鑰。由于密鑰通常存儲(chǔ)在硬盤上，因此對(duì)于想要竊取的人來(lái)說(shuō)，這顯然是一個(gè)容易攻擊的目標(biāo)。

數(shù)據(jù)庫(kù)中的不規(guī)范

導(dǎo)致數(shù)據(jù)庫(kù)漏洞的原因多種多樣，因?yàn)樾枰獪y(cè)試網(wǎng)站安全性并定期進(jìn)行數(shù)據(jù)保護(hù)。如果發(fā)現(xiàn)有任何差異，一定要盡快修復(fù)。而企業(yè)開(kāi)發(fā)人員應(yīng)該要了解可能會(huì)影響數(shù)據(jù)庫(kù)的任何威脅。

雖然企業(yè)可能已經(jīng)意識(shí)到要進(jìn)行安全測(cè)試，但是仍有很多企業(yè)都無(wú)法實(shí)施，因?yàn)橹旅e(cuò)誤通常會(huì)出現(xiàn)在開(kāi)發(fā)階段，或者是應(yīng)用程序集成期間、修補(bǔ)和更新數(shù)據(jù)庫(kù)期間。