《网络安全防护项目教程》_子任务813数据库系统安全策略.pptxVIP

了解数据库的基本知识

了解数据库安全防护的必要性

掌握数据库系统安全策略小

技台

能够灵活判断数据库的各种状态

能解决配置过程中出现的师题

培养认真细致的工作俺态度和工作作风

养成刻苦、勤奋、好问独立思考和细心检查的学习习惯;

子任务8-1-1数

据库系统概述

子任务8-1-2数据库技术

子任务8-1-3数据

库系统安全策略

子任务8-2-1SQL注入概述

子任务8-2-2SQL手工注入

子任务8-2-3SQL注入实战;

新天教育培训集团在持续运营一段时间后，服务器都增加了大量的资料和数

据。这些数据统一由数据库软件进行管理。但是新天教育部门主管担心这些数据容易受到外部攻击，特别是通过数据库进行攻击。为此，新天教育培训集团需要有效的安全防护手段。;

8.3任务分析

1什么是数据库系统?

2数据库系统安全防护策略有哪些?

3怎样配置数据库系统安全防护?;

1.系统安全策略

系统安全策略包括了数据库用户管理、数据库操作规范、用户认证、操作系统安全4个部分。

(1)数据库用户管理。数据库用户对信息访问的最直接途径就是通过用户访问。因此需要对用户进行严格的管理，只有真正可信的人员才拥有管理数据库用户的权限。

(2)数据库操作规范。数据库中数据才是核心，不能有任何的破坏，数据库管理员是唯一能直接访问数据库的人员，管理员的操作是非常重要的，因此需要对数据库维护人员培训，树立严谨的工作态度，同时需要规范操作流程。;

(3)用户身份认证。从安全角度出发，防止欺骗性连接。

(4)操作系统安全。对于运行任何一种数据库的操作系统来说，都需要考虑安全问题。数据库管理员以及系统账户的口令都必须符

合规定，不能过于简单而且需要定期的更换口令，对于口令的安全同样重要。系统管理员维护操作系统时，需要与数据库管理员合作，避免泄密。;

任务8-1SQL数据库安全认识

子任务8-1-3数据库系统安全策略

2.数据安全策略

数据安全策略决定了可以访问特定数据的用户组，以及这些用

户的操作权限。数据的安全性取决于数据的敏感程度，如果数据不是那么敏感，则数据的安全策略则可以稍微松一些；反之则需要制定特定的安全策略，严格的控制访问对象，确保数据的安全。;

3.用户安全策略

用户安全策略是由一般用户安全、最终用户安全、管理员安全、应用程序及开发人员安全、应用程序管理员安全5个部分组成。

(1)一般用户安全。如果对于用户的认证由数据库进行管理，则安全管理员就应该制定口令安全策略来维护数据库访问的安全性。

(2)最终用户安全。安全管理员必须为最终用户安全制定策略。如果使用的是大型数据库同时还有许多用户，这是就需要安全管理员对用户组进行分类，为每个用户组创建用户角色，并且对每个角色授予相应的权限。;

任务8-1SQL数据库安全认识

任务1-3数据库系统安全策略

(3)管理员安全。安全管理员应当拥有阐述管理员安全的策略。在数据库创建后，应对SYS和SYSTEM用户名更改口令，以防止对数据库的未认证访问，且只有数据库管理员才可用。

(4)应用程序开发人员安全。安全管理员必须为使用数据库的应用程序开发人员制定一套特殊的安全策略。安全管理员可以把创建必要对象的权限授予应用程序开发人员。反之，创建对象的权限

只能授予数据库管理员，他从开发人员那里接收对象创建请求.

(5)应用程序管理员安全。在有许多数据库应用程序的大型数据库系统中，可以设立应用程序管理员。;

任务8-1SQL数据库安全认识

任务1-3数据库系统安全策略

4.口令安全策略

口令管理包括账户锁定、口令老化及到期、口令历史记录、口令复杂性

校验。

(1)账户锁定。当某一特定用户超过了失败登录尝试的指定次数，服务器会自动锁定这个用户账户。

(2)口令老化及到期。DBA使用CREATEPROFILE语句指定口令的最大生存期，当到达了指定的时间长度则口令到期，用户或DBA必须变更口令。

(3)口令历史记录。DBA使用CREATEPROFILE语句指定时间间隔，在这一间隔内用户不能重用口令。

(4)口令复杂性校验。口令设置必须满足复杂性要求。