信息安全工程师-软考中级-备考笔记:第二十章 数据库系统安全

第20章 数据库系统安全
数据库安全概况
• 数据库安全概念
o 数据库的机密性、完整性、可用性能够得到保障
o 主要涉及数据库管理安全、数据安全、数据库应用安全以及数据库运行安全
• 数据库安全威胁
o 授权的误用:越权/提权
o 逻辑推断和汇聚:足够多个别信息汇聚成敏感信息
o 伪装:假冒用户身份
o 旁路控制:在数据库设置后门
o 隐蔽信道:利用非正常的通信途径传输数据躲避数据库安全机制的控制
o SQL注入攻击:导致数据库信息泄露,被提权
o 数据库口令密码破解:利用口令字典爆破
o 硬件及介质攻击:物理攻击
• 数据库安全隐患
o 数据库用户账号和密码隐患
o 数据库系统扩展存储过程隐患
o 数据库系统软件和应用程序漏洞
o 数据库系统权限分配隐患
o 数据库系统用户安全意识薄弱
o 网络通信内容是明文传递
o 数据库系统安全机制不健全
• 数据库安全需求
o 数据库标识与鉴别
o 数据库访问控制
o 数据库安全审计
o 数据库备份与恢复
o 数据库加密
o 资源限制
o 数据库安全加固
o 数据库安全管理
数据库安全机制与实现技术
• 数据库安全机制

• 数据库加密
o 加密方式:
 数据库网上传输的数据,通常利用SSL协议来实现
 数据库存储的数据,通过数据库存储加密来实现
• 数据库存储加密方式:库内加密和库外加密
• 常用技术:
 基于文件的数据库加密技术
 基于记录的数据库加密技术
 基于字段的数据库加密技术
数据库脱敏
• 常见技术方法:屏蔽、变形、替换、随机、加密
数据库漏洞扫描
• 商业产品:NGSSQuirrel for Oracle
数据库防火墙
• 通过SQL协议分析,阻断非法违规操作,提供SQL注入禁止和数据库虚拟补丁包功能
• 安全作用
 屏蔽直接访问数据库的通道
 增强认证
 攻击检测
 防止漏洞利用
 防止内部高危操作
 防止敏感数据泄露
 数据库安全审计
Oracle数据库安全分析与防护
• Oracle安全概况
o 1979年首先推出SQL标准的关系型数据库chanpin
• Oracle安全分析
o 安全机制和技术:
 用户认证:认证机制多样
 访问控制:内部集成网络和数据对象授权控制
 特权管理
 安全审计和数据库防火墙
 透明加密与数据屏蔽
Oracle安全最佳实践
• 增强Oracle数据库服务器的操作系统安全
• 最小化安装Oracle,删除不必要组件
• 安装最新的安全补丁
• 删除或修改默认的用户名和密码
• 启用认证机制
• 设置好的口令密码策略
• 设置最小化权限,严格限制以下程序包的权限:
 UTL_FILE:读取服务器上文件
 UTL_HTTP:通过HTTP访问外部资源
 UTL_TCP:通过TCP建立连接,从网络得到可执行文件
 UTL_SMTP:通过SMTP方式进行通信,转发关键文件
• 限制连接Oracle的IP地址
• 传输加密
• 启用Oracle审计
• 定期查看Oracle漏洞发布信息
• 实施Oracle灾备计划
Oracle漏洞修补
• Oracle公司建立关键补丁更新包(Critical Patch Updates),简称CPU

MS SQL数据库安全分析与防护
• MS SQL安全概况
o MS SQL Server 起源于 Sybase,是基于Windows NT 结构的大型关系型数据库管理系统
• MS SQL安全分析
o 安全机制:
 用户身份认证
 访问控制
 数据库加密

 备份、恢复机制
 安全审计
MS SQL安全最佳实践
• 设置好的数据库密码安全策略
• 加强扩展存储过程管理,删除不必要存储过程
• 网上数据加密传输
• 修改数据库默认的TCP/IP端口号:1433
• 对SQL数据库访问的网络连接进行IP限制
• 启用SQL Server日志审计,记录所有的用户访问和分析安全事件日志
• 定期查看MS SQL Server漏洞发布信息,及时修补漏洞
• 保证MS SQL Server的操作系统安全
• MS SQL Server安全检测,制定安全容灾备份计划
MS SQL漏洞修补
• 微软安全响应中心(MSRC)每月发布安全公告
MySQL数据库安全分析与防护
• MySQL安全概况
o 网络化的关系型数据库,与PHP、Apache组合广泛应用
• MySQL安全分析
o 安全机制
 用户身份认证
 访问授权:user、db、host、tables_priv和columns_priv 5个授权表
 安全审计
MySQL安全最佳实践
• MySQL安装
• 建立MySQL Chrooting运行环境
• 关闭MySQL的远程连接
• 禁止MySQL导入本地文件
• 修改MySQL的root用户ID和密码
• 删除MySQL的默认用户和db
• 更改MySQL的root用户名,防止口令暴力破解
• 建立应用程序独立使用的数据库和用户账号
• 安全检测
• 安全备份
MySQL漏洞修补
国产数据库安全分析与防护
• 国产数据库概况
o 神舟数据、人大金仓、达梦及安捷实时数据库
• 国产数据库安全分析
o 国产数据库安全漏洞
o 国产数据库依赖第三方系统组件的安全
o 国产数据库系统安全配置的安全
o 国产数据库支持平台的安全
• 国产数据库安全增强措施
o 国产数据库安全漏洞挖掘及扫描
o 国产数据库加密
o 国产安全数据库

posted @ 2021-11-17 09:05  devdog  阅读(320)  评论(0)    收藏  举报