大学课程《互联网金融信息安全》PPT教学课件：2.11 数据库安全面临的威胁.pptxVIP

数据库安全2.22.2.2数据库安全面临的威胁

大多数企事业单位及政府部门的电子数据都保存在各种数据库中。他们用这些数据库保存一些敏感信息，例如员工工资、医疗记录、员工个人资料等。数据库服务器还掌握着敏感的金融数据，包括交易记录、商业事务和账号数据，以及战略上的或者专业的信息，如专利和工程数据，这些都应该保护起来，防止竞争者和其他非法者获取。2.2.2数据库安全面临的威胁

2.2.2数据库安全面临的威胁常见的数据库安全漏洞和缺陷有以下几种。1.数据库应用程序的安全性通常都同操作系统的最高管理员密切相关如Oracle、Sybase和SQLServer数据库系统都涉及用户账号和密码、认证系统、授权模块和数据对象的许可控制、内置命令（存储过程）、特定的脚本和程序语言、中间件、网络协议、补丁和服务包、数据库管理和开发工具等。许多DBA都把全部精力投入到管理这些复杂的系统中。应用程序的不恰当配置通常会造成严重的后果，且难以被发现。2.2.2.1数据库的安全漏洞和缺陷

2.2.2数据库安全面临的威胁2.人们对数据库安全的忽视人们认为只要把网络和操作系统的安全做好了，所有的应用程序也就安全了。但现在的数据库系统会有很多方面被误用或者存在漏洞影响到安全。而且常用的关系型数据库都是“端口”型的，这就表示任何人都有可能绕过操作系统的安全机制，利用分析工具连接到数据库上。2.2.2.1数据库的安全漏洞和缺陷

2.2.2数据库安全面临的威胁3.部分数据库机制威胁到网络底层安全如某公司的数据库中保存着所有的技术文档、手册和白皮书，但不重视数据库的安全性。这样，即使运行在一个非常安全的操作系统上，入侵者也很容易通过数据库获得操作系统权限。这些存储过程能提供一些执行操作系统命令的接口，而且能访问所有的系统资源，如果该数据库服务器还同其他服务器建立信任关系，那么，入侵者就能够对整个域产生严重的安全威胁。因此，少数数据库的安全漏洞不仅威胁数据库的安全，也威胁到操作系统和其他可信任系统的安全。2.2.2.1数据库的安全漏洞和缺陷

2.2.2数据库安全面临的威胁4.安全特性没有完全使用大多数关系型数据库已经存在很多年了，都是成熟的产品。但IT业界和安全专家对网络和操作系统要求的许多安全特性在多数关系数据库上还没有被使用。5.数据库密码容易泄露多数数据库提供的基本安全特性，都没有相应的机制来限制用户必须选择健壮的密码。许多系统密码都能给入侵者完全访问数据库的机会，更有甚者，有些密码就储存在操作系统的普通文本文件中。6.木马的威胁著名的木马病毒能够在密码改变存储过程时修改密码，并能告知入侵者。例如添加几行信息到sp_password中，记录新账号到库表中，通过E-mail发送这个密码，或者写到文件中等待以后使用等。2.2.2.1数据库的安全漏洞和缺陷

2.2.2数据库安全面临的威胁对数据库构成的威胁主要有篡改、损坏和窃取三种表现形式。1.篡改所谓篡改，是指对数据库中的数据未经授权进行的修改，使其失去原来的真实性。篡改的形式具有多样性，但有一点是明确的，就是在造成影响之前很难被发现。篡改是由于人为因素而产生的。一般来说，发生这种人为威胁的原因主要有个人利益驱动、隐藏证据、恶作剧和无知等。2.2.2.2对数据库的威胁形式

2.2.2数据库安全面临的威胁2.损坏网络系统中数据的损坏是数据库安全性所面临的威胁之一。其表现形式为：数据表和整个数据库部分或全部被删除、移走或破坏。产生这种威胁的原因主要有破坏、恶作剧和病毒。破坏往往都带有明确的作案动机，恶作剧者往往是出于兴趣或好奇而给数据造成损坏，计算机病毒不仅对系统文件进行破坏，也对数据文件进行破坏。3.窃取窃取一般是对敏感数据进行的。窃取的手法除了将数据复制到软盘之类的可移动介质上外，也可以把数据打印后取走。导致窃取威胁的因素有工商业间谍、不满和要离开的员工、被窃的数据可能比想象中更有价值等。2.2.2.2对数据库的威胁形式

2.2.2数据库安全面临的威胁数据库安全的威胁主要来自以下几个方面。1.物理和环境的因素如物理设备的损坏，设备的机械和电气故障。火灾、水灾，以及丢失磁盘磁带等。2.事务内部故障数据库“事务”是数据操作的并发控制单位，是一个不可分割的操作序列。数据库事务内部的故障多发生于数据的不一致性，主要表现有丢失修改、不能重复读、无用数据的读出。2.2.2.3数据库安全的威胁来源

2.2.2数据库安全面临的威胁3.系统故障系统故障又称软故障，是指系统突然停止运行时造成的数据库故障。这些故障不破坏数据库，但影响正在运行的所有事务，因为