数据库安全培训讲稿（张振峰）.pdf

信息安全等级测评师培训 数据库安全测评 公安部信息安全等级保护评估中心 2018年3月 1 前言—背景介绍  地位和作用 ◼ 数据库中存放的数据（包括业务数据），它是企业信息资 产的核心，如果数据被破坏/ 篡改或非授权获取将给企业 带来严重的损失，甚至会给国家安全带来威胁。 ◼ 数据库安全是整个安全链条上的一个重要环节，如果数据 库安全中的任何环节出现问题都可能会损害整个链的牢固 性，给我们整个系统的安全带来严重的损失。  主要类型 ◼ Oracle、DB2、SQL Server 、MYSQL、Sybase。 2 前言—常见威胁（一）  非授权访问 ◼ 身份验证是阻止入侵者的第一道防线，如果口令太弱就可 能被攻击者暴力破解，攻击者也可通过其他手段获取密码 （如开发者将密码明文存放在.NET配置文件中，攻击者就 可能通过它获取密码），从而从远程对数据库进行操作。  特权提升 ◼ 当用户具有某个可信帐户的特权时，就可能发生特权提升 攻击（甚至威胁主机系统的安全）。始终以最小特权的帐 户运行，并仅分配最小权限，并为数据库打上最新补丁。 3 前言—常见威胁（二）  SQL注入 ◼ 利用现有应用程序，将(恶意)的SQL命令注入到后台数据 库引擎执行的能力。在数据库端可通过以下方式来阻止 SQL注入攻击：使用存储过程和参数化的命令，避免动态 SQL ，并限制所有用户的权限。  其他 ◼ 针对SQL Server数据库还存在很多的威胁，如针对漏洞进 行攻击、绕过访问控制进行非授权访问等。 4 前言—指标选取  在 《基本要求》中的位置 数据库安全是主机安全的 一个部分，数据库的测评 指标是从“主机安全”和 “数据安全及备份恢复” 中根据数据库的特点映射 得到的。 5 内容目录 1. 身份鉴别 2. 访问控制 3. 安全审计 4. 资源控制 5. 备份和恢复 6 身份鉴别 a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别  条款理解 ◼ 为防止操作系统用户对SQL Server数据库进行非授权管理 （系统管理员和数据库管理员分离），应选择“SQL Server和Windows”方式，并且让用户每次登录数据