"
互联网时代,人与人、人与社会交互过程中产生的行为数据、画像数据、信息数据等正在呈指数级增长,同时数据的价值和重要性不言而喻。数据库因包含有各种有价值的敏感信息,,一直是黑客攻击的目标,黑客企图通过破坏服务器、数据库来获利,因此,数据库安全测试是必不可少的。
黑客攻击公司的事件比比皆是,过去的几年中,Equifax,Facebook,雅虎,苹果,Gmail,Slack 和 eBay 都曾发生过数据泄露事。而这种情况也引发了企业对网络安全软件和 web 应用程序测试的需求,通过采用这些措施,黑客将被拒绝访问在线数据库中的可用记录和文档。
那么数据库驱动系统中常见的漏洞有哪些呢?
▍部署前无安全测试
数据库被攻击最常见的原因之一就是在开发过程中部署阶段的疏忽。虽然为了确保高性能,企业可能进行了功能测试,但是这种类型的测试无法显示数据库是否正在执行不应该执行的操作,在完全部署之前,使用不同类型的测试来测试网站安全性是非常重要的。
▍虚弱的网络安全软件
Equifax 数据泄露事件,公司承认有 1.47 亿消费者的数据受到损害,造成的后果非常严重。这个案例证明了网络安全软件对于保护数据库的重要性。不过,大多数企业因为缺乏资源或时间原因不愿意进行用户数据安全测试,也不为系统提供定期补丁,因此容易导致数据泄露。
▍无限管理访问
数据库一般有两种威胁:外部威胁和内部威胁,管理员和用户之间应该有明确的分工,确保团队是有限制性的访问。在某些情况下,内部威胁的严重程度甚至会超过外部威胁,任何有权访问敏感数据的人都有机会窃取它并将其出售给第三方组织以获取利润。
由于数据库本身提供的安全策略有限,需要采用第三方产品提供的数据库安全防护策略,在一定程度上有效弥补现有数据库安全能力的短板。
目前,思迈克在数据库安全领域中有专业的数据库安全产品,常见的有数据加密与防泄露类、数据库安全管理和安全审计与监控等。
产品形态属于硬件安全网关类,提供的主要安全功能为:
(1)数据库加密系统,三权分立,限制特权用户访问数据,只有授权的用户和授权的计算机上才能访问数据库;
(2)密文存取,能够对数据库中的数据用密文存取,加密算法支持国产算法,数据不可以破译,能够杜绝数据泄密事件;
(3)数据库防火墙,细粒度访问控制,完全独立于数据库本身安全体系对数据库实现细粒度的访问控制,自动监测异常的SQL语句,并实时阻断和告警;
细粒度数据访问集中审计,主动跟踪、定位对数据库进行攻击的来源及攻击类型,同时可满足合规性要求,防止合法授权用户滥用数据资源
往期精彩回顾新闻快讯|苹果Siri遭隐私质疑,用户信息安全何去何从网络安全之加固数据库防止信息泄露复杂的后端系统中怎样保证数据库安全?
