胡律师:13306647218

数据库安全性如何保障?建立数据库安全防御

时间:2021-07-16 09:34:06

一、Facebook数据泄露被罚事件看数据的重要性

据美国媒体12日报道,美国联邦贸易委员会当天批准了与脸书约50亿美元的和解协议。如果该协议最终获得通过,将成为美国政府对科技公司开出的最大罚单。

2018年3月,脸书卷入了一起数据滥用丑闻。一家名为“剑桥分析”的英国公司被曝以不正当方式获取8700万脸书用户数据,这是脸书成立以来最大的用户数据泄露事件。

建立数据库安全防御,谈数据库面临的安全风险及应对分析

8700万用户的数据被泄露。迫于压力,脸书公司CEO扎克伯格在2018年3月接受媒体采访时公开道歉。他承认该公司在保护用户数据方面犯了错误,并承诺采取措施予以处理。

如今,随着科技的发展,大数据应用已经进入产业发展、政府治理、民生改善等各个领域。大数据的应用大大提高了人们的生产生活水平。大数据已经成为每个行业不可或缺的资源财富。然而,近年来频繁发生的数据泄露事件正在提醒大数据的拥有者,谁掌握了数据,谁就有义务保护数据安全。如今,随着大数据的快速发展和国家安全战略的推进,数据安全保护有了更多的现实意义,必须时刻挂在头上。

建立数据库安全防御,谈数据库面临的安全风险及应对分析

二、数据安全的含义

数据安全有两层含义:一是数据本身的安全主要是指通过现代密码算法对数据进行主动保护,如数据保密性、数据完整性、双向强身份认证等;二是数据保护的安全性,主要利用现代信息存储手段主动保护数据,如磁盘阵列、数据备份、远程容灾等手段保证数据安全。数据安全是一种主动的遏制措施,数据本身的安全必须基于可靠的加密算法和安全体系。

数据处理的安全是指在数据录入、处理、统计或打印过程中,如何有效防止因硬件故障、电源故障、死机、人为误操作、程序缺陷、病毒或黑客造成的数据库损坏或数据丢失。一些敏感或机密数据可能不会被合格人员或操作人员读取,从而导致数据泄露等后果。数据处理的安全性本质上是数据收集、使用、授权和管理的安全性。

数据存储的安全指的是系统操作之外数据库的可读性。一旦数据库被盗,即使没有原始的系统程序,也可以编写另一个程序来查看或修改被盗的数据库。从这个角度来看,未加密的数据库是不安全的,会造成严重的商业泄密,甚至国家机密。数据存储的安全性本质上是数据保存的安全性和保密性,是数据应用运行的安全性和可靠性。

建立数据库安全防御,谈数据库面临的安全风险及应对分析

三、数据库面临的安全风险分析及应对

如今,数据泄露频繁发生,数据库主要存在以下风险:

由于风险一:数据库缺乏授权管理,导致数据库权限滥用 缺乏数据库安全意识,许多数据库的权限被滥用。在许多情况下,当操作员(或应用程序)被授予超出其工作职能的数据库访问权限时,这些权限可能会被恶意滥用。在实际应用中,有很多数据库登录和授权权限的密码仍然是在数据库开发阶段设置的。数据库所有者的安全意识很弱,这种意识只被使用,从未改变。这可能会导致用户将合法的数据库权限用于未经授权的目的。

此外,由于缺乏有效的数据库保护,攻击者可以利用数据库平台软件的漏洞,将普通用户的权限转化为管理员权限。在存储过程、内置函数、协议实现甚至SQL语句中都可以发现漏洞,这对于攻击者来说并不困难。对于数据库来说,从一开始就以密钥的形式实施安全管理和应用,将是解决数据库授权的关键。

SQL注入攻击风险二:数据库SQL注入风险是数据库遇到的最大风险,这相当于整个数据库被非法劫持。入侵者会将未经授权的数据库语句插入(或“注入”)易受攻击的SQL数据通道。通常,攻击的目标数据通道包括存储过程和Web应用程序输入参数。然后,这些注入的语句被传递到数据库并在数据库中执行。有了SQL注入,攻击者可以不受限制地访问整个数据库。

SQL注入攻击的防御主要是验证SQL语句的签名。无论攻击者以何种方式注入SQL,只要未经合法授权,数据库就不可能执行操作,从而有效抵御SQL注入攻击。

建立数据库安全防御,谈数据库面临的安全风险及应对分析

由于风险三:身份验证不足造成的安全风险的数据库采用了弱认证方案,攻击者很容易通过其他方式窃取或获取登录密码,从而获得合法数据库用户的身份。如上所述,有许多数据库所有者在开发数据库时甚至没有替换密码。此外,数据库本身缺乏认证手段,这使得数据库很容易受到攻击。

放弃传统的数据库密码和密码登录,使用密钥来保护数据库,将是未来数据库安全保护的趋势。通过密钥生命周期管理,可以实现数据库的安全登录和权限管理,实现基于密钥的用户(或应用)身份认证,只有合法授权的用户(或应用)才能登录数据库进行操作。

风险四:备份数据明文存放,数据库审计策略不足的安全风险很多情况下,备份数据库存储介质缺乏保护措施,数据库的备份数据以明文形式存储,攻击者很容易获得备份数据,这也是对数据库最容易造成的安全风险。在大多数数据库泄漏事件中,数据库备份磁带和硬盘基本上都被盗。因此,备份数据库必须加密,以确保数据库的安全性和可靠性。

此外,由于缺乏数据库审计策略,所有敏感或异常的数据库都应被记录下来,同时应发出提醒或警报来完成审计策略,以确保数据库的安全性。

建立数据库安全防御,谈数据库面临的安全风险及应对分析

引石老王:从事信息安全工作20年,国内首批商业密码从业人员,国家商业密码应用的参与者与见证者。专注物联网、人工智能应用的远程控制指令的加固授权,致力于系统的反劫持防御与信息安全反黑。

关注引石老王,为您解读安全与高科技,提高安全意识,保障个人信息安全。欢迎关注交流、留言探讨,期待与您的互动!