浅淡关系数据库的安全、保护与检测_数据库_The Hacker News

最新发布《数智时代的AI人才粮仓模型解读白皮书（2024版）》，立即领取! 了解详情 



 写点什么

导读：关系数据库是采用关系模型作为数据组织方式的数据库。关系数据库的特点在于它将每个具有相同属性的数据独立地存储在一个表中。对任一表而言，用户可以新增、删除和修改表中的数据，而不会影响表中的其他数据。关系数据库产品一问世，就以其简单清晰的概念，易懂易学的数据库语言，深受广大用户喜爱。目前，计算机大批量数据存储的安全问题、敏感数据的防窃取和防篡改问题越来越引起人们的重视。数据库系统作为计算机信息系统的核心部件，数据库文件作为信息的聚集体，其安全性是非常重要的。因此对数据库数据和文件进行安全保护是非常必要的。Imperva 作为业界认可的网络安全领导者，为我们阐述了如何保护关系数据库的安全。

关系数据库安全最常见的危害方式是用户权限滥用、弱身份验证、弱审计和弱备份策略。处理这些潜在妥协的一些关键考虑因素如下。

用户权限滥用

用户权限控制用户可以访问哪些资源（例如，资产、应用程序、数据、设备、文件、网络、系统等），以及用户可以对这些资源执行哪些操作。

为了简化用户管理流程，确保用户可以在不触发安全警报或被禁止使用必要资产的情况下完成工作，往往将不受限制或将过多的用户权限广泛分配给组、角色和个人。

结果，如果用户拥有不受限制或过多的权限，数据库的安全性可能会受到危害：

对数据库进行未经授权的更改，包括添加、修改或删除数据。
查看机密或敏感数据，包括知识产权、代码。法律数据，以及员工和客户的个人信息，即使这些数据并非他们工作所必需的。
通过查看、修改或删除审计日志来伪造警报调查。

解决用户权限滥用的潜在问题涉及到预防和检测策略。建议的策略包括以下内容。

预防

实施强有力的用户权限管理。
强制职责分离。
考虑将数据库放在位于专用网络的服务器上，并在操作系统、网络、服务器、数据库、表和 / 或行级别实施多级访问控制。

注：实施多级访问控制需要发现数据库位于何处，数据库中存储了哪些数据，然后按类型、敏感性和价值 / 风险级别对这些数据进行分类。它还需要创建细粒度的用户特权配置文件，而不是宽泛的用户权限配置文件。

检测

进行频繁的特权用户监视，包括审核数据库管理员或其他特权用户输入的所有命令。
频繁进行敏感数据访问审计。

弱认证

薄弱或无效的密码策略、共享用户账户、糟糕的用户登录凭据的加密和 / 或被盗，以及允许直接访问 DBMS/RDMS 来规避访问控制，都可能会危及数据库的安全。

解决弱认证问题涉及到预防和检测策略。建议的策略包括以下内容。

预防

重新配置应用程序系统（例如 PeopleSoft 和 SAP），使它们不能直接连接到数据库，因为身份验证是基于应用程序的凭据，而不是用户的凭据。结果就是，操作系统和数据库都不知道用户的身份，并且无法对特定用户执行访问控制或跟踪操作。
禁用应用程序系统的通用用户账户和默认空密码。取而代之的是，使用不同的名称创建新的用户配置文件 / 账户。
禁用过期密码和回收的密码。
在 DBMS/RDMS 中实施密码复杂性和时效性。
对密码进行掩码操作。
对用于访问数据库的用户和设备进行身份验证（尤其是自带设备）。
基于功能单元和角色，创建访问数据库的典型模式的行为基线配置文件或“白名单”，然后重点关注风险最高的用户、客户端主机和服务器，这样安全团队就能够优先调查任何异常情况。