从安全攻击实例看数据库安全之四：数据安全防护方法.docxVIP

从安全攻击实例看数据库安全之四：数据安全防护方法摘要：本文通过对信息安全攻击实例中的数据库安全风险进行分析，结合信息安全等级保护对数据库安全防护的指导思路，提高信息系统的数据库安全防护能力。数据库安全风险分析与很多业务快速发展而忽视了信息安全建设的公司类似，好运公司被黑客卡尔窃取了大量客户和信用卡信息，而且自己也没有发现。一段时间后，监管机构发现大量信用卡欺诈行为，涉案信用卡有一个共同点，曾在好运公司进行过信用卡交易，由此监管机构发现好运公司出现了问题，并通知了好运公司。好运公司展开内部调查，按照有关法律，好运公司不得不告知信用卡持卡人，并履行相应的赔偿。由于卡尔这次信用卡盗窃行为，好运公司蒙受了惨痛的声誉和经济损失。那么在实际的应用中，究竟都存在哪些数据库安全风险导致敏感信息的批量泄漏？如下图所示：风险1：利用数据库漏洞对数据库进行攻击，批量导出数据或篡改数据；风险2：外部黑客通过应用系统的SQL注入点越权查询数据库敏感信息；风险3：绕过合法应用暴力破解登录数据库或获取明文存储数据库文件。那么好运公司如何在业务快速发展的同时做好信息安全建设呢？下面我们来看下信息系统等级保护有哪些指导性的建议。信息安全政策要求等级保护制度是国家信息安全保障工作的基本制度、基本国策，是开展信息安全工作的基本方法，是促进信息化维护国家信息安全的根本保障。《信息安全技术信息系统安全等级保护基本要求》对信