等级保护应用和数据库安全测评黄洪数据库.pdfVIP

信息安全等级测评师培训信息安全等级测评师培训 数据库安全测评 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心 黄洪黄洪 1 1 前言前言——背景介绍背景介绍  地位和作用  数据库中存放的数据（包括业务数据），它是企业信息资 产的核心，如果数据被破坏/ 篡改或非授权获取将给企业 带来严重的损失，甚至会给国家安全带来威胁。  数据库安全是整个安全链条上的数据库安全是整个安全链条上的一个重要环节个重要环节 ，，如果数据如果数据 库安全中的任何环节出现问题都可能会损害整个链的牢固 性性 ，给我们整个系统的安全带来严重的损失给我们整个系统的安全带来严重的损失。  主要类型  Oracle、DB2、SQL Server 、MYSQL、Sybase。 2 2 前言前言——常见威胁（一）常见威胁（一）  非授权访问  身份验证是阻止入侵者的第一道防线，如果口令太弱就可 能被攻击者暴力破解，攻击者也可通过其他手段获取密码 （如开发者将密码明文存放在.NET配置文件中，攻击者就 可能通过它获取密码可能通过它获取密码），），从而从远程对数据库进行操作从而从远程对数据库进行操作。。  特权提升  当用户具有某个可信帐户的特权时当用户具有某个可信帐户的特权时 ，就可能发生特权提升就可能发生特权提升 攻击（甚至威胁主机系统的安全）。始终以最小特权的帐 户户运行行 ，并仅分并仅分配最小权权限，并为数并为数据库库打上最新新补丁。 3 3 前言前言——常见威胁（二）常见威胁（二）  SQL注入  利用现有应用程序，将(恶意)的SQL命令注入到后台数据 库引擎执行的能力。在数据库端可通过以下方式来阻止 SQL注入攻击：使用存储过程和参数化的命令，避免动态 SQLSQL ，，并限制所有用户的权限并限制所有用户的权限。。  其他  针对针对SQL SSQL Server数据库还存在很多的威胁数据库还存在很多的威胁 ，如针对漏洞进如针对漏洞进 行攻击、绕过访问控制进行非授权访问等。 4 4