当前位置：首页 » 软件开发

开发技术指南» 文章正文

    引言： 数据库服务器实际上是每一个电子交易、金融和企业资源规划（ERP）系统的基础，它还经常包括来自商业伙伴和客户的敏感信息。

 

 

数据库服务器的安全
上一页   ...

在许多资深安全专家中普遍存在着一个错误概念,他们认为:一旦访问并锁定了关键的网络服务与操作系统的漏洞,服务器上的所有应用程序就得到了安全保障.现代数据库系统具有多种特征与性能配置方式,在使用时可能会误用,或危及数据的保密性.有效性与完整性.首先,所有现代关系型数据库系统都是“可从端口寻址的”,这意味着任何人只要有合适的查询工具,就都可与数据库直接相连,并能躲开操作系统的安全机制.例如:可以用tcp/ip协议从1521与1526端口访问oracle 7.3与8数据库.多数数据库系统还有众所周知的默认帐号与密码,可支持对数据库资源的各级访问.从这两个简单的数据相结合,很多重要的数据库系统很可能受到威协.不幸的是,高水平的入侵者还没有停止对数据库的攻击. 【程序编程相关:多家厂商VoIP电话欺骗SIP状态消息处】

保障数据库服务器上的网络与操作系统数据安全是至关重要的,但这些措施对于保护数据库服务器的安全还很不够. 【推荐阅读:顺藤摸瓜 利用IIS日志追查网站入侵者】

还有一个不很明显的原因说明了保证数据库安全的重要性－数据库系统自身可能会提供危及整个网络体系的机制.例如,某个公司可能会用数据库服务器保存所有的技术手册.文档与白皮书的库存清单.数据库里的这些信息并不是特别重要的,所以它的安全优先级别不高.即使运行在安全状况良好的操作系统中,入侵者也可通过“扩展入驻程序”等强有力的内置数据库特征,利用对数据库的访问,获取对本地操作系统的访问权限.这些程序可以发出管理员级的命令,访问基本的操作系统及其全部的资源.如果这个特定的数据库系统与其它服务器有信用关系,那么入侵者就会危及整个网络域的安全. 【扩展信息:Mozilla Firefox】

拙劣的数据库安全保障设施不仅会危及数据库的安全,还会影响到服务器的操作系统与其它信用系统.

数据库是新型电子交易.企业资源规划（erp）与其它重要商业系统的基础.

在电子商务.电子贸易的着眼点集中于web服务器.java与其它新技术的同时,应该记住这些以用户为导向与企业对企业的系统都是以web服务器后的关系数据库为基础的.它们的安全直接关系到系统的有效性.数据与交易的完整性.保密性.系统拖延效率欠佳,不仅影响商业活动,还会影响公司的信誉.不可避免地,这些系统受到入侵的可能性更大,但是并未对商业伙伴与客户敏感信息的保密性加以更有效的防范.此外,erp与管理系统,如aspr/3与peoplesoft等,都是建立在相同标准的数据库系统中.无人管理的安全漏洞与时间拖延.系统完整性问题与客户信任等有直接的关系.

我需要寻找哪此类型的安全漏洞呢?

传统的数据库安全系统只侧重于以下几项:用户帐户.作用与对特定数据库目标的操作许可.例如,对表单与存储步骤的访问.必须对数据库系统做范围更广的彻底安全分析,找出所有可能领域内的潜在漏洞,包括以下提到的各项内容.

与销售商提供的软件相关的风险－软件的bug.缺少操作系统补丁.脆弱的服务与选择不安全的默认配置.
...   下一页

» 本期热门文章：

· 热门栏目：

» 相关精选文章

» 其它相关：