信息系统应用安全（张爱芳）第4章 数据库安全.pptVIP

第四章 数据库安全 主要内容 数据库系统及其安全 数据库自身的安全机制和策略 SQL注入原理 其它针对数据库的常见攻击和防范 数据库漏洞检测 数据库安全标准和评测 4.1 数据库系统及其安全 4.1.1 常见数据库系统 Oracle Oracle 前身叫SDL，由Larry Ellison 和另两个编程人员在1977创办，1979 年，Oracle公司引入了第一个商用SQL 关系数据库管理系统。 Oracle公司是最早开发关系数据库的厂商之一，其产品支持最广泛的操作系统平台。目前Oracle关系数据库产品的市场占有率名列前茅。 SQL Server 1987 年，微软和IBM合作开发完成OS/2，IBM 在其销售的OS/2 ExtendedEdition 系统中绑定了OS/2DatabaseManager，而微软产品线中尚缺少数据库产品。为此，微软将目光投向Sybase，同Sybase 签订了合作协议，使用Sybase的技术开发基于OS/2平台的关系型数据库。1989年，微软发布了SQL Server 1.0 版。 基于服务器端的中型数据库，可以适合大容量数据的应用，在处理海量数据的效率、后台开发的灵活性、可扩展性等方面强大。 有更多的可扩展性，如可利用存储过程，数据库大小无极限限制。是功能完全的数据库管理系统，能为任何规模的企业提供数据管理方法。 常见数据库系统 MySQL MySQL是一个小型关系型数据库管理系统，开发者为瑞典MySQL AB公司。在2008年1月16号被Sun公司收购。目前MySQL被广泛地应用在Internet上的中小型网站中。由于其体积小、速度快、总体拥有成本低，尤其是开放源码这一特点，许多中小型网站为了降低网站总体拥有成本而选择了MySQL作为网站数据库。 Access Access 是微软公司推出的基于Windows的桌面关系数据库管理系统（RDBMS，即Relational Database ManagementSystem），是Office系列应用软件之一。仅适合数据量少的应用，在处理少量数据和单机访问的数据库时很好，效率也高。但容量有限，在数据达到100M左右，容易倒是服务器IIS假死，或者消耗掉服务器内存而导致服务器崩溃。 4.1.2 数据库系统安全 “如果网络遍地是金钱，那么金钱就在数据库服务器中”。 无纸化业务环境的不断扩大，人们在数据库中存储着越来越多的敏感信息：银行账户、医疗记录、政府文件、军事机密等等，数据库系统就成为越来越有价值的攻击目标。 为了保证信息的安全，数据库系统采用了访问控制、加密、审计等安全措施。但是这些措施通常未充分使用。 截至到2008年6月份，在著名的漏洞数据库CVE中，与数据库相关的漏洞已达900多个。其中危害性较大的有缓冲区溢出、SQL注入和拒绝服务漏洞等。攻击者可以利用这些漏洞导致拒绝服务、绕过数据库策略、泄漏敏感信息或执行任意代码。 补充：CVE CVE ——“Common Vulnerabilities Exposures” 公共漏洞和暴露 CVE 是国际著名的安全漏洞库，也是对目前已知漏洞和安全缺陷的标准化名称的列表，它是一个由企业界、政府界和学术界综合参与的国际性组织，采取一种非盈利的组织形式，其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。 CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的漏洞给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，这样就使得CVE成为了安全信息共享的“关键字”。 如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。 补充：CVE CVE诞生背景 目前实时入侵检测和漏洞扫描评估基于的主要方法还是“已知入侵手法检测”和“已知漏洞扫描”，换句话说就是基于知识库的技术。可见，