對(duì)關(guān)鍵系統(tǒng)建立強(qiáng)健的基于策略的訪問(wèn)和活動(dòng)監(jiān)視可以阻止內(nèi)部人員攻擊;顒(dòng)監(jiān)視和審計(jì)提供對(duì)可疑活動(dòng)的警告功能,從而可以對(duì)可疑活動(dòng)及時(shí)采取行動(dòng)。數(shù)據(jù)庫(kù)安全解決方案允許IT和安全人根據(jù)不同的活動(dòng)類型設(shè)置不同的警告級(jí)別,可以用不同的格式智能地過(guò)濾這些警告,并根據(jù)預(yù)先定義的策略來(lái)定義用戶組或個(gè)人。

  管理員應(yīng)當(dāng)為插入、更新、刪除等命令創(chuàng)建存儲(chǔ)過(guò)程。在存儲(chǔ)過(guò)程中,管理員可以將一條記錄插入到日志表中,要記錄所需要的細(xì)節(jié)。管理員可以用存儲(chǔ)過(guò)程來(lái)撤銷對(duì)數(shù)據(jù)庫(kù)表的插入、更新、刪除等語(yǔ)句。注意,屬于特定角色(如db_owner)的任何人仍能夠直接對(duì)表進(jìn)行操作。

  管理員還應(yīng)當(dāng)對(duì)表的更新、插入、刪除等建立觸發(fā)器。在觸發(fā)器中,可以將任何東西記錄到日志表中。通過(guò)此法,可以將所有的數(shù)據(jù)修改操作記錄下來(lái),而不管其實(shí)現(xiàn)方式(直接的SQL語(yǔ)句或通過(guò)存儲(chǔ)過(guò)程)。

  四、錯(cuò)誤配置

  黑客可以使用數(shù)據(jù)庫(kù)的錯(cuò)誤配置控制“肉機(jī)”訪問(wèn)點(diǎn),借以繞過(guò)認(rèn)證方法并訪問(wèn)敏感信息。這種配置缺陷成為攻擊者借助特權(quán)提升發(fā)動(dòng)某些攻擊的主要手段。如果沒(méi)有正確的重新設(shè)置數(shù)據(jù)庫(kù)的默認(rèn)配置,非特權(quán)用戶有可能訪問(wèn)未加密的文件,未打補(bǔ)丁的漏洞有可能導(dǎo)致非授權(quán)用戶訪問(wèn)敏感數(shù)據(jù)。

  1、修復(fù)默認(rèn)的、空白的、弱口令。確保所有的數(shù)據(jù)庫(kù)都擁有復(fù)雜的口令,并清除空白的、默認(rèn)的及弱口令。要保證每一個(gè)實(shí)例都使用獨(dú)立的口令,要強(qiáng)化企業(yè)當(dāng)前正在使用的口令策略,并將其擴(kuò)展到所有的網(wǎng)絡(luò)登錄中。如果數(shù)據(jù)庫(kù)支持,可以考慮使用網(wǎng)絡(luò)認(rèn)證,如活動(dòng)目錄,而不使用用戶名和口令認(rèn)證。

  2、加密靜態(tài)和動(dòng)態(tài)的敏感數(shù)據(jù)。不要把敏感數(shù)據(jù)以明文形式存放到數(shù)據(jù)庫(kù)中的表中。通過(guò)修復(fù)數(shù)據(jù)庫(kù)漏洞,并密切監(jiān)視對(duì)敏感數(shù)據(jù)存儲(chǔ)的訪問(wèn),數(shù)據(jù)庫(kù)專業(yè)人員可以發(fā)現(xiàn)并阻止攻擊。防御SQL注入攻擊要求一種多層的方法,保護(hù)措施必須與端到端的檢查結(jié)合起來(lái),這意味著無(wú)論是Web應(yīng)用程序還是數(shù)據(jù)庫(kù)的基礎(chǔ)架構(gòu)都要納入到解決方案中。

  五、未打補(bǔ)丁的漏洞

  如今攻擊已經(jīng)從公開的漏洞利用發(fā)展到更精細(xì)的方法,并敢于挑戰(zhàn)傳統(tǒng)的入侵檢測(cè)機(jī)制。漏洞利用的腳本在數(shù)據(jù)庫(kù)補(bǔ)丁發(fā)布的幾小時(shí)內(nèi)可以被發(fā)到網(wǎng)上。當(dāng)即可以使用的漏洞利用代碼,再加上幾十天的補(bǔ)丁周期(在多數(shù)企業(yè)中如此),實(shí)質(zhì)上幾乎把數(shù)據(jù)庫(kù)的大門完全打開了。

  使用專業(yè)工具發(fā)現(xiàn)并修復(fù)這些漏洞,然后再結(jié)合監(jiān)視沒(méi)有打補(bǔ)丁的漏洞可以保護(hù)企業(yè)免受這種風(fēng)險(xiǎn)。

  六、高級(jí)持續(xù)性威脅

  之所以稱其為高級(jí)持續(xù)性威脅,是因?yàn)閷?shí)施這種威脅的是有組織的專業(yè)公司或政府機(jī)構(gòu),它們掌握了威脅數(shù)據(jù)庫(kù)安全的大量技術(shù)和技巧,而且是“咬定青山不放松”“立根原在‘金錢(有資金支持)’中”,“千磨萬(wàn)擊還堅(jiān)勁,任爾東西南北風(fēng)”。這是一種正甚囂塵上的風(fēng)險(xiǎn):熱衷于竊取數(shù)據(jù)的公司甚至外國(guó)政府專門竊取存儲(chǔ)在數(shù)據(jù)庫(kù)中的大量關(guān)鍵數(shù)據(jù),不再滿足于獲得一些簡(jiǎn)單的數(shù)據(jù)。特別是一些個(gè)人的私密及金融信息,一旦失竊,這些數(shù)據(jù)記錄可以在信息黑市上銷售或使用,并被其它政府機(jī)構(gòu)操縱。鑒于數(shù)據(jù)庫(kù)攻擊涉及到成千上萬(wàn)甚至上百萬(wàn)的記錄,所以其日益增長(zhǎng)和普遍。通過(guò)鎖定數(shù)據(jù)庫(kù)漏洞并密切監(jiān)視對(duì)關(guān)鍵數(shù)據(jù)存儲(chǔ)的訪問(wèn),數(shù)據(jù)庫(kù)的專家們可以及時(shí)發(fā)現(xiàn)并阻止這些攻擊。

  小結(jié):將安全作為一個(gè)過(guò)程

  不少企業(yè)的安全解決方案是作為應(yīng)對(duì)已知風(fēng)險(xiǎn)的一系列技術(shù)而部署的,而不是作為一種保障企業(yè)安全的綜合方法和過(guò)程。安全并不是購(gòu)買并部署了安全產(chǎn)品那么簡(jiǎn)單,它是一個(gè)需要持續(xù)關(guān)注的過(guò)程。例如,在企業(yè)部署了Web應(yīng)用程序防火墻后,還應(yīng)當(dāng)經(jīng)常檢查其有效性和可用性,隨著業(yè)務(wù)的開展而對(duì)其進(jìn)行調(diào)整。再比如,在購(gòu)買了某軟件后,你還得關(guān)注它有沒(méi)有漏洞,開發(fā)商什么時(shí)候提供補(bǔ)丁下載和安裝。

  此外,企業(yè)如果不把對(duì)雇員的教育放在首位,任何安全措施都會(huì)成為空談。所以,構(gòu)建一種能夠隨著企業(yè)的增長(zhǎng)和變化而演變的系統(tǒng)化的動(dòng)態(tài)過(guò)程,才能更有效地保障當(dāng)今的動(dòng)態(tài)環(huán)境。