安华金和数据库安全加固对策.pdfVIP

技术天地 T e c h n o l o g y W o r l d 信息“止泄”需要对症下药 张 博 类艳春 北京安华金和科技有限公司 1 引言 措施，有的配备了防火墙、入侵检测系统，有的开 启了数据库审计，但泄密事件仍然发生了，归根结 数据库是企业和组织最重要的信息资产集散地， 底还是因为数据维护单位没有从数据的使用环节入 是信息系统的心脏，一旦遭到入侵或数据窃取，会对 手，根据自身情况分析清楚安全防护的弱点，做到 其造成重创。鉴于数据库安全的重要性，不少企业和 对症下药。如：运营商的用户数据库不挂在外网， 组织开始在数据库安全层面保持关注和持续投入，然 外部攻击可以不用考虑，而大量的外包服务厂商的 而数据泄露事件却仍然层出不穷： 人员管控、权限监管则必须作为防护重点；而 天酒 7 ◇据香港 《文汇报》报道， 年 月底，汇丰银 2008 3 店经营数据库则需要架设在外网，提供网上服务， 行观塘裕民坊分行遗失一台载有近 万客户资料的计算 16 由于业务复杂度低、数据规模小，运维几乎可以一 机服务器，汇丰银行发表声明证实，遗失的客户资料包 人承担，这样它主要的风险则是外部攻击。 括账户号码、姓名、交易金额等大量个人信息。 ◇ 年 月，黑客入侵韩国会展中心数据库， 20 11 5 2 信息泄露威胁分布 在网上爆出了其中大量的客户资料数据，并展示数 据库操作过程。 按照数据信息的使用环节划分，信息在数据库 ◇ 年， 天酒店经营数据库被盗，黑客通 20 11 7 端泄密风险主要分布在存储层、访问控制层、应用 过 “刷库”的方式直接盗走了562M大小的数据库文 层和数据库运维管理四个方面。 件，进而获取了全部用户信息，包括顾客的个人隐 私信息和在该酒店的入住记录，并在网上公开售卖 2.1 存储层 其会员数据库文件，引起一片哗然。 ◇ 年 月，陕西移动发生 万客户信息泄 数据库的底层存储实际上是未经加密处理的， 20 11 9 1400 露事件。首犯周双成是联创公司派驻陕西移动的系 数据文件、备份文件以及日志文件的丢失都存在重 统运维人员，他利用工作之便，多次侵入这家通信 大的泄密风险，操作系统管理员拿到备份文件，可 运营公司用户数据库盗取手机用户个人信息，涵盖 以在异地恢复成一个库，不需要掌握任何数据库口 西安、咸阳、铜川等 个地市的 万手机用户，占 令；另外如 、 一类的成熟免费软件，可对 7 1394 Dul MyDul 全省手机用户的百分之六七十。 Oracle数据文件直接解析，输出清晰的、结构化的数 ◇作为第三方运维人员的程某是深圳市某技术公 据；还有许多基于日志解析的备份恢复工具，实际 司软件开发工程师，他利用公司在深圳福彩中心实施技 上也可以从文件中获得具体数据。 术合作项目的机会