a毛片毛费观看-a毛片在线-a毛片在线观看-a毛片在线免费观看-国产成人综合洲欧美在线-国产成人综合高清在线观看

始創于2000年 股票代碼:831685
咨詢熱線:0371-60135900 注冊有禮 登錄
  • 掛牌上市企業
  • 60秒人工響應
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補償
您的位置: 網站首頁 > 幫助中心>文章內容

2012年需關注的六大數據庫風險

發布時間:  2012/8/31 17:17:57

如今的風險環境充斥著各種新舊不同的風險和漏洞。有些最大的風險在過去的幾年中并沒有什么變化。許多風險仍在肆虐,給敏感信息造成極大的威脅和巨大的破壞成本。其中,數據庫的安全風險一直是業界關注的重點。2012年,企業面臨的數據庫風險將有增無減。

數據庫越來越容易遭到攻擊有兩方面原因:首先,公司被要求越來越多地增加對存儲在數據庫中數據的訪問。增加的數據訪問極大地增加了數據被竊取和濫用的風險。要求訪問數據的人員包括內部雇員、審計人員、承包商、分包商、供應鏈的合作伙伴等。其次,數據庫的攻擊者已經發生了變化。過去,攻擊者的目的是為了炫耀其才能,雖然意圖并不高尚,但很少造成數據失竊。如今,攻擊者的動機往往是經濟上的,有時與政治或意識形態有關。攻擊者有組織并且死心塌地地尋求可以使其發財的信息,如知識產權、信用卡號、個人身份證號、政府機密等私密信息。

在考慮到這些風險后,企業需要一種可以清除漏洞、定位敏感數據、確認用戶訪問、監視數據庫活動的安全策略,而且能在數據庫水平上減輕風險。從歷史上看,企業將工作的重點放在外圍安全和外部攻擊上,投資購買了防火墻、反病毒軟件,并確保路由器的配置安全等。雖然這些投資很有必要,但對于阻止針對數據庫的直接攻擊卻收效甚微。如果不阻擊這些攻擊,就會搞垮公司。調查發現,現代的數據庫攻擊所造成的單位成本比以往任何攻擊都要巨大。而修復數據庫損害的花費更是越來越高。在這種環境中,企業必須保護自己免受最高風險的危害,并重視保護數據庫免受各種新出現風險的破壞。

下文討論的是一些需要引起關注的重要安全風險,在制定和實施2012年的數據庫防御策略時,必須考慮這些方面。

一、內部人員錯誤

數據庫安全的一個潛在風險就是“非故意的授權用戶攻擊”和內部人員錯誤。這種安全事件類型的最常見表現包括:由于不慎而造成意外刪除或泄漏,非故意的規避安全策略。在授權用戶無意訪問敏感數據并錯誤地修改或刪除信息時,就會發生第一種風險。在用戶為了備份或“將工作帶回家”而作了非授權的備份時,就會發生第二種風險。雖然這并不是一種惡意行為,但很明顯,它違反了公司的安全策略,并會造成數據存放到存儲設備上,在該設備遭到惡意攻擊時,就會導致非故意的安全事件。例如,筆記本電腦就能造成這種風險。

經常進行用戶權利的檢查可以使審計人員、IT顧問等知道企業的數據所有權、訪問控制、對敏感信息的權利等詳細信息。這個過程可以使企業確立有效的責任分離制度,更好地滿足合規要求。

監視責任的分離變得日益重要。適當的訪問權限是一個關鍵的安全問題,責任分離的控制是合規要求的一個基本原則。

為確保這些無意的違反不會發生,企業應當將關鍵的保護從網絡和Web應用程序層擴展到數據庫。常規的數據庫安全評估包括審計和滲透測試,而且應當執行錯誤配置的檢查,以盡量減少這些風險。此外,還可以實施活動監視,以保證不會無意下載或傳輸敏感數據。

二、社交工程

由于攻擊者使用的高級釣魚技術,在合法用戶不知不覺地將安全機密提供給攻擊者時,就會發生大量的嚴重攻擊。這些新型攻擊的成功,意味著此趨勢在2012年繼續。在這種情況下,用戶會通過一個受到損害的網站或通過一個電子郵件響應將信息提供給看似合法的請求。應當通知雇員這種非法的請求,并教育他們不要做出響應。此外,企業還可以通過適時地檢測可疑活動,來減輕成功的釣魚攻擊的影響。數據庫活動監視和審計可以使這種攻擊的影響最小化。

三、內部人員攻擊

很多數據庫攻擊源自企業內部。當前的經濟環境和有關的裁員方法都有可能引起雇員的不滿,從而導致內部人員攻擊的增加。這些內部人員受到貪欲或報復欲的驅使,且不受防火墻及入侵防御系統等的影響,容易給企業帶來風險。

常見的內部人員攻擊包括口令猜測或竊取、特權提升、數據竊取、惡意軟件部署、拒絕服務攻擊等。例如,如果某雇員準備離職,在對目前的公司不滿時,就有可能訪問并竊取大量的私密文檔。這表明,僅有防火墻和網絡安全是遠遠不夠的。企業應定期執行用戶權力的檢查、評估漏洞并監視特權活動(包括受信任的雇員和合伙人)等,這至關重要。

在不少企業,很多人可以訪問需要特定權限才能訪問的數據。或者,雇員擁有過高的權限,可被用于訪問敏感數據。從本質上講,公司網絡上的通道越多,利用網絡訪問點的機會就越多,企業就更容易遭到攻擊。

在任何企業中,知道最敏感的數據在哪里至關重要。首要的一步是全面分析哪些用戶可以訪問每個系統,他們可以訪問哪些數據和功能,根據用戶的業務功能驗證用戶是否被授予了適當的訪問水平。具有前瞻性思維的企業必須主動地實施用戶權利的最佳實踐,確保將數據的適當訪問和所有權分配給機密數據。如果不執行全面的用戶權利檢查,就會增加企業的數據訪問被濫用的風險,并增加不遵守合規要求的風險。

對關鍵系統建立強健的基于策略的訪問和活動監視可以阻止內部人員攻擊。活動監視和審計提供對可疑活動的警告功能,從而可以對可疑活動及時采取行動。數據庫安全解決方案允許IT和安全人根據不同的活動類型設置不同的警告級別,可以用不同的格式智能地過濾這些警告,并根據預先定義的策略來定義用戶組或個人。

管理員應當為插入、更新、刪除等命令創建存儲過程。在存儲過程中,管理員可以將一條記錄插入到日志表中,要記錄所需要的細節。管理員可以用存儲過程來撤銷對數據庫表的插入、更新、刪除等語句。注意,屬于特定角色(如db_owner)的任何人仍能夠直接對表進行操作。

管理員還應當對表的更新、插入、刪除等建立觸發器。在觸發器中,可以將任何東西記錄到日志表中。通過此法,可以將所有的數據修改操作記錄下來,而不管其實現方式(直接的SQL語句或通過存儲過程)。

四、錯誤配置

黑客可以使用數據庫的錯誤配置控制“肉機”訪問點,借以繞過認證方法并訪問敏感信息。這種配置缺陷成為攻擊者借助特權提升發動某些攻擊的主要手段。如果沒有正確的重新設置數據庫的默認配置,非特權用戶就有可能訪問未加密的文件,未打補丁的漏洞就有可能導致非授權用戶訪問敏感數據。

1、修復默認的、空白的、弱口令。確保所有的數據庫都擁有復雜的口令,并清除空白的、默認的及弱口令。要保證每一個實例都使用獨立的口令,要強化企業當前正在使用的口令策略,并將其擴展到所有的網絡登錄中。如果數據庫支持,可以考慮使用網絡認證,如活動目錄,而不使用用戶名和口令認證。

2、加密靜態和動態的敏感數據。不要把敏感數據以明文形式存放到數據庫中的表中。通過修復數據庫漏洞,并密切監視對敏感數據存儲的訪問,數據庫專業人員可以發現并阻止攻擊。防御SQL注入攻擊要求一種多層的方法,保護措施必須與端到端的檢查結合起來,這意味著無論是Web應用程序還是數據庫的基礎架構都要納入到解決方案中。

五、未打補丁的漏洞

如今攻擊已經從公開的漏洞利用發展到更精細的方法,并敢于挑戰傳統的入侵檢測機制。漏洞利用的腳本在數據庫補丁發布的幾小時內就可以被發到網上。當即就可以使用的漏洞利用代碼,再加上幾十天的補丁周期(在多數企業中如此),實質上幾乎把數據庫的大門完全打開了。

使用專業工具發現并修復這些漏洞,然后再結合監視沒有打補丁的漏洞可以保護企業免受這種風險。

六、高級持續性威脅

之所以稱其為高級持續性威脅,是因為實施這種威脅的是有組織的專業公司或政府機構,它們掌握了威脅數據庫安全的大量技術和技巧,而且是“咬定青山不放松”“立根原在‘金錢(有資金支持)’中”,“千磨萬擊還堅勁,任爾東西南北風”。這是一種正甚囂塵上的風險:熱衷于竊取數據的公司甚至外國政府專門竊取存儲在數據庫中的大量關鍵數據,不再滿足于獲得一些簡單的數據。特別是一些個人的私密及金融信息,一旦失竊,這些數據記錄就可以在信息黑市上銷售或使用,并被其它政府機構操縱。鑒于數據庫攻擊涉及到成千上萬甚至上百萬的記錄,所以其日益增長和普遍。通過鎖定數據庫漏洞并密切監視對關鍵數據存儲的訪問,數據庫的專家們可以及時發現并阻止這些攻擊。

小結:將安全作為一個過程

不少企業的安全解決方案是作為應對已知風險的一系列技術而部署的,而不是作為一種保障企業安全的綜合方法和過程。安全并不是購買并部署了安全產品那么簡單,它是一個需要持續關注的過程。例如,在企業部署了Web應用程序防火墻后,還應當經常檢查其有效性和可用性,隨著業務的開展而對其進行調整。再比如,在購買了某軟件后,你還得關注它有沒有漏洞,開發商什么時候提供補丁下載和安裝。

此外,企業如果不把對雇員的教育放在首位,任何安全措施都會成為空談。所以,構建一種能夠隨著企業的增長和變化而演變的系統化的動態過程,才能更有效地保障當今的動態環境。
 


本文出自:億恩科技【www.ibaoshan.net】

服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質保障!--億恩科技[ENKJ.COM]

  • 您可能在找
  • 億恩北京公司:
  • 經營性ICP/ISP證:京B2-20150015
  • 億恩鄭州公司:
  • 經營性ICP/ISP/IDC證:豫B1.B2-20060070
  • 億恩南昌公司:
  • 經營性ICP/ISP證:贛B2-20080012
  • 服務器/云主機 24小時售后服務電話:0371-60135900
  • 虛擬主機/智能建站 24小時售后服務電話:0371-60135900
  • 專注服務器托管17年
    掃掃關注-微信公眾號
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權所有  地址:鄭州市高新區翠竹街1號總部企業基地億恩大廈  法律顧問:河南亞太人律師事務所郝建鋒、杜慧月律師   京公網安備41019702002023號
      0
     
     
     
     

    0371-60135900
    7*24小時客服服務熱線

     
     
    久久99精品久久只有精品| 亚洲AV无码成H人动漫在线观看| 国偷自产一区二区免费| 97无码免费人妻超级碰碰夜夜| 午夜精品久久久久久毛片| 男人边做边吃奶头视频| 国产情侣一区二区| BT天堂在线观看WWW| 新CHINESE无套小帅KTV| 欧美极品小妇另类xXXX性| 国产真实自在自偷| 办公室揉弄高潮嗯啊免费视频| 亚洲国产精品久久精品| 日本XXXX色视频在线观看免费,| 精品综合久久久久久888 | 野花高清在线观看免费官网| 丝袜 亚洲 另类 欧美 变态| 蜜桃亚洲AV无码一区二区三区| 国产美女高潮视频| DY888午夜福利视频| 亚洲国产五月综合网| 色欲A∨无码蜜臀AV免费播| 里面也请好好疼爱第5话在哪| 国产精品亚洲色婷婷99久久精品 | 保守人妻精油按摩被强出| 亚洲精品无码不卡久久久久| 色悠久久久久综合网伊| 鲁鲁网亚洲站内射污| 国产精品亚洲А∨天堂2021| CAOPORN国产精品免费| 亚洲国产精品VA在线看黑人| 日韩在线观看视频一区二区| 久久综合久久鬼色| 国产精品无码一区二区三区电影| GAYFUCKⅩⅩⅩⅩHD激情| 亚洲国产精品VA在线观看香蕉| 日本一本免费一区二区三区免| 久久人人爽人人爽人人片AV高请| 国产精品成人片在线观看| AV一区二区三区人妻少妇| 亚洲人成图片小说网站| 熟女内射婷婷直播| 女刑警被两个黑人挺进| 精品久久久久久亚洲综合网| 国产AV无码区亚洲AV欧美| 18禁又污又黄又爽的网站不卡| 亚洲AV日韩精品一区二区三区| 日本久久久WWW成人免费毛片丨| 久久久久成人精品| 国产精品无码专区AV在线播放| SUNTEK中老年人女妈妈秋装| 亚洲自偷自偷偷色无码中文| 午夜A级毛片免费观看| 人妻无码熟妇乱又伦精品视频| 久久精品国产亚洲AV大全| 国产精品偷窥熟女精品视频| 白嫩少妇激情无码| 孕妇滴着奶水做着爱A| 亚洲 日韩 另类 制服 无码| 日本理论片YY4800免费| 美美哒免费高清影院| 狠狠综合久久久久精品网站| 高潮VIDEOSSEX潮喷另类| 18禁男女爽爽爽午夜网站免费| 亚洲精品国产一二三无码AV| 我是你可爱的小猫| 人人妻人人爽人人狠狠| 美女高潮无遮挡免费视频| 经典WC偷窥美女如厕MP4| 国产精品高潮AV久久无码| 薄白丝小仙女自慰喷水| 装醉把自己给流浪汉玩| 亚洲女毛多水多21P| 我和子发生了性关系视频| 日本强好片久久久久久AAA| 蜜芽AⅤ色欲AV浪潮夜夜嗨| 精品亚洲欧美无人区乱码| 国产麻豆精品一区二区三区V视界| 波多野42部无码喷潮在线| 中文字幕女人妻热女人妻| 亚洲蜜桃无码一区二区三区| 无码专区3D动漫精品免费| 日日摸夜夜添狠狠添欧美 | 国产成人精品久久一区二区三区| AV人摸人人人澡人人超碰下载| 夜夜澡天天碰人人爱AV| 亚洲VA天堂VA在线VA欧美| 我国产码在线观看AV哈哈哈网站 | 亚洲国产精品嫩草影院久久| 天堂资源在线WWW在线观看| 人人爽人人爽人人片AV东京热| 男女一起差差差差差| 久久人午夜亚洲精品无码区| 幻女FREE性俄罗斯毛片福| 国产精品人人做人人爽| 绯色AV一区二区三区3∪8| YY8840私人影院的在线| 18禁又污又黄又爽的网站不卡| 伊人久久大香线蕉AV最新午夜| 亚洲欧美日韩、中文字幕不卡 | 国产精品亚洲欧美大片在线观看 | 国产乱沈阳女人高潮乱叫老 | 色欲AV无码一区二区人妻| 人妻尝试又大又粗久久| 妺妺窝人体色WWW看美女| 久久婷婷五月综合色99啪| 精品久久久久久中文字幕无码软件| 国产免费久久精品国产传媒| 福利一区福利二区| 波多野结衣的影片| AV天堂影音先锋AV色资源网站| 永久免费观看午夜成人网站| 亚洲欧美一区二区三区| 亚洲AV无码专区在线电影成人网| 无码日韩人妻AV一区二区三区| 少妇高潮太爽了在线观看欧美| 日本水蜜桃身体乳的美白效果| 欧美性猛交XXXXX按摩欧美| 免费无码又爽又刺激高潮| 久久综合给久久狠狠97色| 久久国产精品日本波多野结衣 | 久久久久久久亚洲AV无码| 精品久久人人爽人人玩人人妻| 国精产品一二三四线免费| 国产精品毛片无码一区二区蜜桃| 够了够了到高C了好多水视频| 波多野结衣一二三区AV高清| TPU色母能与PA6色母通用吗| AV鲁丝一区鲁丝二区鲁丝四 | 国产亚洲精品无码专区| 国产乱妇乱子在线播放视频| 国产黄A三级三级三级| 国产VIVODESHD精品| 大伊香蕉在线精品视频75| 成年视频APP短视频在线观看| JIZZJIZZ无码中国在线观| 97夜夜澡人人爽人人喊中国片| 中文字幕有码无码人妻AV蜜桃| 再深点灬舒服灬太大了添动视频| 艳妇乳肉豪妇荡乳ⅩXXOO小说| 亚洲人妻在线视频| 亚洲毛片ΑV无线播放一区| 亚洲国模私拍人体GOGO| 亚洲国产精品成人午夜在线观看| 亚洲AV无码专区国产乱码电影| 亚洲AⅤ天堂无码专区-百度| 性色做爰片在线观看WW| 羞羞汗汗YY歪歪漫画AV漫画| 性偷窥TUBE凸凹视频| 亚洲AVTV永久综合在线| 亚洲AⅤ中文无码字幕色下载软件| 小SAO货CAO得你舒服吗男男| 无人高清视频免费观看在线| 无码人妻久久一区二区三区| 无码人妻久久一区二区三区免费| 我们还没在书房试过 | 小鲜肉洗澡时自慰网站XNXX| 西西人体大胆牲交视频| 小BBW小BBW小BBW小| 性猛交ⅩXXX富婆video| 亚拍精品一区二区三区探花| 亚洲AⅤ中文无码字幕色| 亚洲AV无码久久| 亚洲AV毛片成人精品| 亚洲 国产 韩国 欧美 在线| 羞羞漫画_成人漫画_成人专用 | 国产三级精品三级在线专区1| 国产乱码字幕精品高清AV| 国产三级农村妇女在线| 国产真人无码作爱免费视频| 黑人刚破完处就三P| 精品久久久久久中文字幕202| 久久本道综合久久伊人| 久久人人爽人人爽人人片AV不 | 伊人久久大香线蕉AV不变影院| 英语老师乖乖挽起裙子的意思| 中文毛片无遮挡高潮免费| 337P日本大胆欧洲色噜噜| A级毛片免费全部播放| 白嫖B站激活码2023| 成熟交BGMBGMBGM在线| 国产AV免费一区二区三区| 国产精品线在线精品| 国内精品伊人久久久久妇| 精品人妻系列无码人妻漫画| 久久久久久九九99精品| 满月产奶1∨1POP骨科推荐| 欧美ZC0O人与善交| 欧美最猛黑人XXXⅩ猛男欧视频| 人妻免费一区二区三区最新| 日韩精品无码免费专区网站| 四虎精品成人免费视频| 午在线亚洲男人午在线| 亚洲成在人线AⅤ中文字幕| 亚洲熟妇XXXXX色黄妇| 在线天堂おっさんとわたし| 99久久精品免费观看国产| 潮喷无码正在播放| 国产V精品成人免费视频| 国产欧美日韩精品A在线观看|