網(wǎng)絡(luò)的高速發(fā)展為企業(yè)和個(gè)人都帶來(lái)了無(wú)限機(jī)遇，隨著在線業(yè)務(wù)變得越來(lái)越流行，接觸全球客戶也成為點(diǎn)指間能夠?qū)崿F(xiàn)的事情。想要建立一個(gè)在線業(yè)務(wù)，最重要的就是建立一個(gè)全面的數(shù)據(jù)庫(kù)，與此同時(shí)，保護(hù)你共享在網(wǎng)絡(luò)中的數(shù)據(jù)安全也是至關(guān)重要的。

數(shù)據(jù)庫(kù)已經(jīng)成為黑客的主要攻擊目標(biāo)，因?yàn)樗鼈兇鎯?chǔ)著大量有價(jià)值和敏感的信息。 這些信息包括金融、知識(shí)產(chǎn)權(quán)以及企業(yè)數(shù)據(jù)等各方面的內(nèi)容。網(wǎng)絡(luò)罪犯開始從入侵在線業(yè)務(wù)服務(wù)器和破壞數(shù)據(jù)庫(kù)中大量獲利，因此，確保數(shù)據(jù)庫(kù)的安全成為越來(lái)越重要的命題。

盡管意識(shí)到數(shù)據(jù)庫(kù)安全的重要性，但開發(fā)者在開發(fā)、集成應(yīng)用程序或修補(bǔ)漏洞、更新數(shù)據(jù)庫(kù)的時(shí)候還是會(huì)犯一些錯(cuò)誤，讓黑客們有機(jī)可乘。本文列出了數(shù)據(jù)庫(kù)系統(tǒng)10大最常見的安全問(wèn)題及10款數(shù)據(jù)庫(kù)安全工具推薦，需要的朋友歡迎收藏哦！

十大安全問(wèn)題

1.部署失敗 

數(shù)據(jù)庫(kù)陷入危機(jī)最普遍的原因就是在開發(fā)過(guò)程中的粗心大意。有些公司會(huì)意識(shí)到優(yōu)化搜索引擎對(duì)其業(yè)務(wù)獲得成功的重要性，但是只有對(duì)數(shù)據(jù)庫(kù)進(jìn)行排序的前提下，SEO才能成功對(duì)其優(yōu)化。盡管功能性測(cè)試對(duì)性能有一定的保證，但測(cè)試并不能預(yù)料數(shù)據(jù)庫(kù)會(huì)發(fā)生的一切。因此，在進(jìn)行完全部署之前，對(duì)數(shù)據(jù)庫(kù)的利弊進(jìn)行全面的檢查是非常重要的。

2.數(shù)據(jù)泄露

你可以把數(shù)據(jù)庫(kù)當(dāng)做后端設(shè)置的一部分，并更加注重保護(hù)互聯(lián)網(wǎng)安全，但是這樣一來(lái)其實(shí)并不起作用。因?yàn)閿?shù)據(jù)庫(kù)中有網(wǎng)絡(luò)接口，如果黑客想要利用它們就可以很輕易地操縱數(shù)據(jù)庫(kù)中的這些網(wǎng)絡(luò)接口。為了避免發(fā)生這種現(xiàn)象，使用TLS或SSL加密通信平臺(tái)就變的尤為重要。

3.破損的數(shù)據(jù)庫(kù) 

你還記得2003年的SQL Slammer蠕蟲病毒可以在10分鐘內(nèi)感染超過(guò)90%的脆弱設(shè)備嗎？該病毒可以在幾分鐘內(nèi)感染破壞成千上萬(wàn)的數(shù)據(jù)庫(kù)。通過(guò)利用在微軟SQL Server數(shù)據(jù)庫(kù)中發(fā)現(xiàn)的漏洞進(jìn)行傳播，導(dǎo)致全球范圍內(nèi)的互聯(lián)網(wǎng)癱瘓。這種蠕蟲的成功充分說(shuō)明了保護(hù)數(shù)據(jù)庫(kù)安全的重要性。不幸的是，由于缺乏資源和時(shí)間，大多數(shù)企業(yè)不會(huì)為他們的系統(tǒng)提供常規(guī)的補(bǔ)丁，因此，他們很容易遭受蠕蟲攻擊。

4.數(shù)據(jù)庫(kù)備份被盜

對(duì)數(shù)據(jù)庫(kù)而言通常存在兩種類型的威脅——一個(gè)是外部，一個(gè)是內(nèi)部的。你會(huì)如何處理竊取企業(yè)內(nèi)部錢財(cái)和其他利益的“內(nèi)鬼”？這是當(dāng)代企業(yè)最常面臨的一個(gè)問(wèn)題，而解決這種問(wèn)題的唯一方法就是對(duì)檔案進(jìn)行加密。

5.濫用數(shù)據(jù)庫(kù)特性 

據(jù)專家稱，每一個(gè)被黑客攻擊的數(shù)據(jù)庫(kù)都會(huì)濫用數(shù)據(jù)庫(kù)特性。盡管聽起來(lái)可能有點(diǎn)復(fù)雜，但實(shí)際上就是利用這些數(shù)據(jù)庫(kù)特征中固有的漏洞。解決這種問(wèn)題的方法就是刪除不必要的工具。

6.基礎(chǔ)設(shè)施薄弱

黑客一般不會(huì)馬上控制整個(gè)數(shù)據(jù)庫(kù)，相反，他們會(huì)選擇玩跳房子游戲來(lái)尋找基礎(chǔ)設(shè)施中存在的弱點(diǎn)，然后再利用它們的優(yōu)勢(shì)來(lái)發(fā)動(dòng)一連串的攻擊，直到抵達(dá)后端。因此，很重要的一點(diǎn)是，每個(gè)部門都要演習(xí)相同數(shù)量的控制和隔離系統(tǒng)來(lái)幫助降低風(fēng)險(xiǎn)。 

7.缺乏隔離

隔離管理員和用戶之間的權(quán)限，如此一來(lái)內(nèi)部員工想要竊取數(shù)據(jù)就需要面臨更多的挑戰(zhàn)。如果你可以限制用戶賬戶的數(shù)量，黑客想控制整個(gè)數(shù)據(jù)庫(kù)就會(huì)面臨更大的挑戰(zhàn)。

8.SQL注入

對(duì)于保護(hù)數(shù)據(jù)庫(kù)而言，這是一個(gè)重要的問(wèn)題。一旦應(yīng)用程序被注入惡意的字符串來(lái)欺騙服務(wù)器執(zhí)行命令，那么管理員不得不收拾殘局。目前最佳的解決方案就是使用防火墻來(lái)保護(hù)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)。

9.密鑰管理不當(dāng) 

保證密鑰安全是非常重要的，但是加密密鑰通常存儲(chǔ)在公司的磁盤驅(qū)動(dòng)器上，如果這些密鑰一旦遺失，那么您的系統(tǒng)會(huì)很容易遭受黑客攻擊。

10. 數(shù)據(jù)庫(kù)中的違規(guī)行為 

正是不一致性導(dǎo)致了漏洞。不斷地檢查數(shù)據(jù)庫(kù)以及時(shí)發(fā)現(xiàn)任何異常之處是非常有必要的，開發(fā)人員應(yīng)該清除地認(rèn)識(shí)任何可能影響數(shù)據(jù)庫(kù)的威脅因素。雖然這不是一項(xiàng)容易的工作，但是開發(fā)人員可以利用追蹤信息/日志文本來(lái)查詢和解決此類問(wèn)題。

既然有這么多問(wèn)題存在，那么也一定有相應(yīng)的解決方法，下面就給大家推薦10款深受安全專家和“白帽黑客”歡迎的數(shù)據(jù)庫(kù)安全工具，希望對(duì)大家有所裨益！

數(shù)據(jù)庫(kù)安全工具推薦

1. MSSQL DataMask 

每個(gè)企業(yè)都會(huì)犯一個(gè)常見的錯(cuò)誤—在測(cè)試數(shù)據(jù)庫(kù)中使用實(shí)時(shí)數(shù)據(jù)。為了避免這種情況，MSSQL.DataMask會(huì)為開發(fā)人員的開發(fā)、測(cè)試或外包項(xiàng)目提供分離數(shù)據(jù)的能力，包括SQL Server數(shù)據(jù)庫(kù)。MSSQL Data Mask會(huì)將數(shù)據(jù)分為個(gè)人身份數(shù)據(jù)、敏感個(gè)人數(shù)據(jù)或商業(yè)敏感數(shù)據(jù)等不同種類進(jìn)行保護(hù)。

2. Scuba 

Scuba是Imperva公司提供的一款免費(fèi)數(shù)據(jù)庫(kù)安全軟件工具，該工具可掃描世界領(lǐng)先的企業(yè)數(shù)據(jù)庫(kù)，以查找安全漏洞和配置缺陷（包括修補(bǔ)級(jí)別）。報(bào)表提供可據(jù)此操作的信息來(lái)降低風(fēng)險(xiǎn)，定期的軟件更新會(huì)確保 Scuba 與新威脅保持同步。Scuba 針對(duì) Oracle Database、Microsoft SQL Server、SAP Sybase、IBM DB2、Informix 和 MySQL 提供了接近 1200 次評(píng)估測(cè)試。

3. AppDetectivePro 

AppDetectivePro是Application Security Inc開發(fā)的一款基于網(wǎng)絡(luò)的脆弱性評(píng)估掃描數(shù)據(jù)庫(kù)應(yīng)用程序的工具。AppDetectivePro使用業(yè)界最佳做法和行之有效的安全方法，找出、審查、報(bào)告和修補(bǔ)程序的安全漏洞和錯(cuò)誤配置，以保護(hù)組織從內(nèi)部和外部數(shù)據(jù)庫(kù)的威脅。

4. Nmap 

NmapNmap是一個(gè)免費(fèi)開源的網(wǎng)絡(luò)連接端掃描工具，許多系統(tǒng)和網(wǎng)絡(luò)管理員常用它掃描計(jì)算機(jī)開發(fā)的網(wǎng)絡(luò)連接端，確定哪些服務(wù)運(yùn)行在哪些連接端、正在運(yùn)行的是哪種操作系統(tǒng)、正在使用的是哪種類型的防火墻等。另外，也常被用來(lái)評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全，可以說(shuō)是網(wǎng)絡(luò)管理員必備管理工具之一。

5. Zenmap

最好用的免費(fèi)網(wǎng)絡(luò)安全工具之一，通過(guò)GUI使所有Nmap（network mapper，用于網(wǎng)絡(luò)發(fā)現(xiàn)和安全審計(jì)）功能更易于實(shí)現(xiàn)。為初學(xué)者設(shè)計(jì)，同時(shí)為Nmap老兵提供高級(jí)功能。Zenmap將保存常用的掃描配置文件作為模板，從而方便掃描設(shè)置。掃描結(jié)果可以通過(guò)一個(gè)可搜索的數(shù)據(jù)庫(kù)保存，以便跨時(shí)間對(duì)比分析。它還包含一些非常重要的特性，如掃描和檢測(cè)數(shù)據(jù)庫(kù)實(shí)例和漏洞。

6. BSQL Hacker

BSQL Hacker是由Portcullis實(shí)驗(yàn)室開發(fā)的一個(gè)SQL自動(dòng)注入工具（支持SQL盲注），其設(shè)計(jì)的目的是希望能對(duì)任何的數(shù)據(jù)庫(kù)進(jìn)行SQL溢出注入。BSQL Hacker的適用群體是那些對(duì)注入有經(jīng)驗(yàn)的使用者和那些想進(jìn)行自動(dòng)SQL注入的人群。BSQL Hacker可自動(dòng)對(duì)Oracle和MySQL數(shù)據(jù)庫(kù)進(jìn)行攻擊，并自動(dòng)提取數(shù)據(jù)庫(kù)的數(shù)據(jù)和架構(gòu)。

7. SQLRECON

SQLRECON是一個(gè)數(shù)據(jù)庫(kù)發(fā)現(xiàn)工具，執(zhí)行網(wǎng)絡(luò)主動(dòng)和被動(dòng)掃描來(lái)識(shí)別SQL Server實(shí)例。由于個(gè)人防火墻的擴(kuò)散，不一致的網(wǎng)絡(luò)庫(kù)配置以及多實(shí)例支持，SQL Server安裝開始變得越來(lái)越難發(fā)現(xiàn)、評(píng)估和維護(hù)。SQLRecon旨在解決這一問(wèn)題，通過(guò)將所有已知的SQL Server/MSDE發(fā)現(xiàn)方式融入一個(gè)單一的工具，來(lái)查明你從不知曉的存在你的網(wǎng)絡(luò)中的服務(wù)器，由此你可以給予他們適當(dāng)?shù)谋Ｗo(hù)。

8. Oracle審計(jì)工具

Oracle 審計(jì)工具是一個(gè)工具包，可以用來(lái)審計(jì)Oracle數(shù)據(jù)庫(kù)服務(wù)器的安全性。這個(gè)開源的工具包包括口令攻擊工具、命令行查詢工具以及TNS-listener查詢工具，來(lái)檢測(cè)Oracle數(shù)據(jù)庫(kù)的配置安全問(wèn)題。此外，該工具是基于Java并在Windows 和 Linux系統(tǒng)中測(cè)試的。

9. OScanner

OScanner 是基于Java開發(fā)的一個(gè)Oracle評(píng)估框架。它有一個(gè)基于插件的架構(gòu)并附帶幾個(gè)插件，目前可以實(shí)現(xiàn)：

• Sid枚舉
• 密碼測(cè)試（常見&字典）
• 枚舉Oracle版本
• 枚舉賬號(hào)權(quán)限
• 枚舉賬號(hào)哈希
• 枚舉審計(jì)信息
• 枚舉密碼策略
• 枚舉數(shù)據(jù)庫(kù)鏈接

DB Defence是一個(gè)操作簡(jiǎn)單、高效實(shí)惠的加密安全解決方案，它允許數(shù)據(jù)庫(kù)管理員和開發(fā)人員完全加密數(shù)據(jù)庫(kù)。DB Defence從未經(jīng)授權(quán)地訪問(wèn)、修改以及分發(fā)等方面保護(hù)數(shù)據(jù)庫(kù)，它提供一系列強(qiáng)大的數(shù)據(jù)庫(kù)安全特性，比如強(qiáng)大的加密手段、從SQL分析器中保護(hù)SQL等。

數(shù)據(jù)庫(kù)是任何組織最重要的組成部分，所以有必要不惜任何代價(jià)的進(jìn)行保護(hù)。一旦攻擊者可以訪問(wèn)數(shù)據(jù)庫(kù)，他們就破壞它并擾亂整個(gè)組織的正常運(yùn)作。然而，我們可以運(yùn)用上述安全工具測(cè)試和保護(hù)我們的數(shù)據(jù)庫(kù)，此外，當(dāng)然市場(chǎng)上還有很多其他數(shù)據(jù)庫(kù)安全工具，但是上述工具均為行業(yè)內(nèi)經(jīng)驗(yàn)豐富的專業(yè)人員推薦，所以希望此文可以在您保護(hù)數(shù)據(jù)庫(kù)的過(guò)程中祝您一臂之力。

本文參考自4hou.com，如若轉(zhuǎn)載，請(qǐng)注明出處這些安全問(wèn)題你知道嗎？附10款數(shù)據(jù)庫(kù)安全工具推薦