译文标题 数据库安全
原文标题
Database Security
作 者
Paul Morrison
译 名
保罗莫里森
国 籍 美国
原文出处
http://www.niit.com.cn/
数据库安全
PART 1
“为什么要确保数据库服务安全呢?任何人都不能访问-这是一个非军事区的
保护防火墙”,当我们被建议使用一个带有安全检查机制的装置时,这是通常的反
应。事实上,在防护一个组织的信息方面,数据库的安全是至高无上的,因为它
可能会间接接触比我们意识到的更广泛的用户。
这是两篇研究数据库安全文章中的第一篇。在这篇文章中我们将讨论一般数
据库安全概念和和比较普遍的问题。在下篇文章,我们将把焦点放在特定的
Microsoft SQL 和 Oracle 的安全关注上。
近来数据库安全已成为一个热门话题。随着越来越多的人关注计算机安全,
我们发现,防火墙和网络服务器比以前都更加安全化了(虽然这并不等于说现在
不再有许多不安全的网络存在)。因此,重点是加大对技术的考虑力度,譬如以
更细腻的审查态度对待数据库。
◆ 一般安全意识
在我们讨论有关数据库安全问题之前,确保底层操作系统和支撑技术的安
全是审慎而且必要的。如果一个 vanilla 操作系统无法为数据库提供一个稳妥可
靠的安全基础,花费太多努力去确保数据库安全是不值得的。当安装操作系统
时,有许多好的文献资料可以参考。
经常遇到的一个普遍问题,就是作为网络服务器托管 Internet(or Intranet)
的同一服务器上数据库的应用。虽然这可能节省的购买一个单独的服务器费用,
但这严重影响了安全问题。如果这是确定的,当数据库开放地连接到互联网这种
情况被证实了。最近的一个例子,我记得是一个 Apache 网络服务器系统服务组
织在互联网上提供的,与 Oracle 数据库在互联网上提供有关端口 1521。在调查
这个问题时进一步被发现,访问该 Oracle 服务器是没有服务器加以制止之类的
保护措施的(包括缺乏密码)。从互联网发展前景看,这个数据库是不被推崇
的,但默认设置的使用以及粗糙的安全措施,使服务器更加脆弱。
上面提到的问题并不是严格地数据库问题,还可以被归类为构建机制和防火
墙保护问题,但最终它确是数据库,这是毫不妥协的。安全方面的考虑从面向网
络的各部分来看而被迫作出的。你不能依靠任何他人或任何别的事以保护你的数
据库安全。
◆ 由于 SQL 和 Oracle 开发的漏洞给攻击工具一个得以使用的空间。
我在最近为客户做的一项安全评估中偶然发现一个数据库安全方面的有趣的
是。我们正在进行对使用一个数据库后端(SQL)以存放客户端的细节的企业内
部应用软件的测试。安全审查过程进展顺利,访问控制基于 Windows 认证。只
有通过认证的 Windows 用户能够看到属于他们的数据。这个应用软件本身好像
对输入要求进行处理,拒绝直接进入资料库的所有尝试。
之后我们在工作的办公室偶然发现一个该应用软件的备份。这个媒体装有
SQL 数据库的备份,这是我们重新存储到笔记本电脑上的。所有安全控制均到那
共 9 页 第 1 页
评论2