QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

浅淡关系数据库的安全、保护与检测

  • 2019-10-30
  • 本文字数:2029 字

    阅读完需:约 7 分钟

浅淡关系数据库的安全、保护与检测

导读: 关系数据库是采用关系模型作为数据组织方式的数据库。关系数据库的特点在于它将每个具有相同属性的数据独立地存储在一个表中。对任一表而言,用户可以新增、删除和修改表中的数据,而不会影响表中的其他数据。关系数据库产品一问世,就以其简单清晰的概念,易懂易学的数据库语言,深受广大用户喜爱。目前,计算机大批量数据存储的安全问题、敏感数据的防窃取和防篡改问题越来越引起人们的重视。数据库系统作为计算机信息系统的核心部件,数据库文件作为信息的聚集体,其安全性是非常重要的。因此对数据库数据和文件进行安全保护是非常必要的。Imperva 作为业界认可的网络安全领导者,为我们阐述了如何保护关系数据库的安全。


关系数据库安全最常见的危害方式是用户权限滥用、弱身份验证、弱审计和弱备份策略。处理这些潜在妥协的一些关键考虑因素如下。

用户权限滥用

用户权限控制用户可以访问哪些资源(例如,资产、应用程序、数据、设备、文件、网络、系统等),以及用户可以对这些资源执行哪些操作。


为了简化用户管理流程,确保用户可以在不触发安全警报或被禁止使用必要资产的情况下完成工作,往往将不受限制或将过多的用户权限广泛分配给组、角色和个人。


结果,如果用户拥有不受限制或过多的权限,数据库的安全性可能会受到危害:


  • 对数据库进行未经授权的更改,包括添加、修改或删除数据。

  • 查看机密或敏感数据,包括知识产权、代码。法律数据,以及员工和客户的个人信息,即使这些数据并非他们工作所必需的。

  • 通过查看、修改或删除审计日志来伪造警报调查。


解决用户权限滥用的潜在问题涉及到预防和检测策略。建议的策略包括以下内容。

预防

  • 实施强有力的用户权限管理。

  • 强制职责分离

  • 考虑将数据库放在位于专用网络的服务器上,并在操作系统、网络、服务器、数据库、表和 / 或行级别实施多级访问控制。


注: 实施多级访问控制需要发现数据库位于何处,数据库中存储了哪些数据,然后按类型、敏感性和价值 / 风险级别对这些数据进行分类。它还需要创建细粒度的用户特权配置文件,而不是宽泛的用户权限配置文件。

检测

  • 进行频繁的特权用户监视,包括审核数据库管理员或其他特权用户输入的所有命令。

  • 频繁进行敏感数据访问审计。

弱认证

薄弱或无效的密码策略、共享用户账户、糟糕的用户登录凭据的加密和 / 或被盗,以及允许直接访问 DBMS/RDMS 来规避访问控制,都可能会危及数据库的安全。


解决弱认证问题涉及到预防和检测策略。建议的策略包括以下内容。

预防

  • 重新配置应用程序系统(例如 PeopleSoft 和 SAP),使它们不能直接连接到数据库,因为身份验证是基于应用程序的凭据,而不是用户的凭据。结果就是,操作系统和数据库都不知道用户的身份,并且无法对特定用户执行访问控制或跟踪操作。

  • 禁用应用程序系统的通用用户账户和默认空密码。取而代之的是,使用不同的名称创建新的用户配置文件 / 账户。

  • 禁用过期密码和回收的密码。

  • 在 DBMS/RDMS 中实施密码复杂性和时效性。

  • 对密码进行掩码操作。

  • 对用于访问数据库的用户和设备进行身份验证(尤其是自带设备)。

  • 基于功能单元和角色,创建访问数据库的典型模式的行为基线配置文件或“白名单”,然后重点关注风险最高的用户、客户端主机和服务器,这样安全团队就能够优先调查任何异常情况。

检测

  • 创建警报,然后调查失败的登陆尝试和账户锁定。

  • 每当对象被访问时,对数据对象进行审核。

  • 审核由直接访问数据的用户编写的所有命令。

弱审计

很多时候,审计被人们认为既复杂,又耗时。因此,组织可能无法实施强有力的审计计划。但是,特定行业和监管要求都需要进行审计来确定合规性。审计有助于确保及时调查和应对异常情况。


改进审计的建议策略包括以下内容。

预防

  • 定义需要审计哪些事务,例如登录失败、共享账户和使用不存在的用户名、在非正常时间或使用不同的用户名但使用相同设备的登陆尝试。

  • 进行频繁的特权用户监控,包括审核数据库管理员或其他特权用户输入的所有命令。

  • 进行频繁的敏感数据访问审核。

  • 强制职责分离,使具有不受限制用户权限的用户不能修改或删除审计日志。

  • 确保数据库管理员没有超级用户或不受限制的权限。

检测

  • 为审计日志中的异常创建警报,但要注意警报疲劳

弱备份策略

不完整或失败的备份、失窃或未加密备份介质的不当存储都可能会危及数据库的安全。


此外,数据库事务记录在写入数据库的事务日志和单独的文件中。如果数据库损坏,那么事务日志也会损坏。这会造成数据完整性和恢复的问题。


加强备份的一些策略包括以下内容。

预防

  • 定义适合组织的备份和恢复策略。

  • 在最小恢复间隔内更新事务日志。

  • 在事务日志被截断之前对其进行备份。

  • 加密备份的日志文件。

  • 以接近实时的方式将备份复制到单独的服务器。

  • 确保哦对存储备份介质的位置进行强访问控制(包括物理和虚拟的方式)。

检测

  • 执行运行状况检查,如备份验证和还原验证,以检查是否存在可能的损坏。


作者介绍:


Imperva,是一家从事保护客户的数据和应用程序的公司,该公司的使命是保护客户的重要资产免受网络犯罪粉丝不断变化的攻击。


原文链接:


Relational Database Security


2019-10-30 08:081425

评论

发布
暂无评论
发现更多内容

零信任与 K8s 环境实践

HummerCloud

k8s 零信任 kubernetes 运维

1024·致敬 | 迟到的小温暖,感谢不平凡的你们

XTransfer技术

助力企业服务体验升级,华为云CDN这样做

路过的憨憨

时序数据库 TDengine 签约新奥新智

TDengine

数据库 tdengine 时序数据库

如何在等待页面制作加载动画

Towify

Apache APISIX 3.1.0 版本正式发布

API7.ai 技术团队

开源 api 网关 APISIX apache 社区

接口自动化测试不想写代码?这款工具强烈推荐

不想敲代码

自动化测试 API 自动化测试平台

DTT年度收官圆桌π,华为云8位技术专家的年末盘点

华为云开发者联盟

云计算 后端 华为云 12 月 PK 榜

ROMA Connect: 5大联接能力+4大集成能力,推进企业数字化转型

华为云开发者联盟

云计算 后端 数字化 华为云 12 月 PK 榜

YMatrix 番外篇|透过镜头,那些不为人知的故事

YMatrix 超融合数据库

车联网 超融合数据库 C++ YMatrix 研发故事

行云管家荣膺STIF第三届国际科创节 “2022年度数字化创新典范奖”

行云管家

信息安全 数字化 国际科创节

聚焦电商场景数字化转型升级,华为云大数据解决方案高效赋能

爱尚科技

如何正确使用网格设置制作卡片类型展示页面

Towify

捷报频传 | Bonree ONE获2022科技赋能金融业场景金融建设突出贡献奖

博睿数据

可观测性 智能运维 博睿数据 ONE平台 荣誉奖项

云网络运维必备神器:全链路故障诊断与分析

华为云开发者联盟

云计算 后端 华为云 12 月 PK 榜

跳板攻击原理及如何追踪定位攻击者主机(下)

郑州埃文科技

IP地址 跳板攻击 攻击溯源

Liga妙谈 | 找准「话事人」,高效甄别和响应用户反馈

LigaAI

产品经理 敏捷开发 PO 产品负责人 12 月 PK 榜

有了华为云大数据BI,企业数字化转型该如何做?

爱尚科技

重磅!XTransfer荣登InfoQ【十大开发者最向往的高价值技术团队】榜单

XTransfer技术

着眼全局提升决策质量,华为云大数据BI让企业看见未来

爱尚科技

这个API管理工具不登录不下载就能用!

不想敲代码

API 接口管理 协同办公 协同软件

工业数据分析为什么要用FusionInsight MRS IoTDB?

华为云开发者联盟

大数据 后端 华为云 工业数据 12 月 PK 榜

等保四级适用于哪些领域?一年一次吗?

行云管家

等保 等级保护 等保四级

使用 SQL 实现同比环比分析

搞大屏的小北

数据可视化 同比环比 展示同比环比 BI大屏同比环比

NFTScan 与 Cwallet 团队达成战略合作伙伴,由 NFTScan 为其提供 NFT API 数据服务

NFT Research

NFT 数据基础设施

网络拥堵影响业绩?看华为云CDN如何为企业保驾护航

路过的憨憨

艺多不压身!华为云CDN成众多企业网络支撑

路过的憨憨

理解iOS端的WebView同层组件

珲少

一文讲清「敏捷路线图」| Liga译文

LigaAI

Scrum 产品经理 敏捷开发 软件开发 12 月 PK 榜

确保网路畅通,华为云CDN加速服务大有可为

路过的憨憨

智能制造 | AIRIOT智慧工厂管理解决方案

AIRIOT

物联网 智慧工厂 物联网系统搭建

浅淡关系数据库的安全、保护与检测_数据库_The Hacker News_InfoQ精选文章