安華金和全面適配國(guó)產(chǎn)化操作系統(tǒng)及芯片CPU
數(shù)據(jù)安全治理關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫(kù)脫敏技術(shù)詳解
數(shù)據(jù)安全治理之API監(jiān)測(cè)系統(tǒng) ,解決API接口安全問(wèn)題【安華金和】
新一代數(shù)據(jù)庫(kù)脫敏技術(shù),為敏感數(shù)據(jù)建立保護(hù)盾!
數(shù)據(jù)庫(kù)脫敏系統(tǒng)與金融行業(yè)案例解讀
數(shù)據(jù)安全治理建設(shè)思路的著力點(diǎn)——數(shù)據(jù)安全咨詢服務(wù)【安華金和】
數(shù)據(jù)庫(kù)防火墻功能有哪些?-數(shù)據(jù)安全-安華金和
數(shù)據(jù)安全關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫(kù)脫敏技術(shù)詳解【安華金和】
中國(guó)數(shù)據(jù)安全治理落地指導(dǎo)書(shū)籍《數(shù)據(jù)安全治理白皮書(shū)5.0》正式發(fā)布(附下載)
從數(shù)據(jù)庫(kù)安全漏洞的成因分析,數(shù)據(jù)庫(kù)漏洞主要可以劃分為兩大類,一是:應(yīng)用程序邏輯漏洞;二是:數(shù)據(jù)庫(kù)軟件漏洞。但是不管是哪種漏洞,攻擊者最終的目標(biāo)都是通過(guò)漏洞獲取數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)。
應(yīng)用程序邏輯漏洞是指出在應(yīng)用開(kāi)發(fā)過(guò)程中,由于應(yīng)用程序開(kāi)發(fā)人員的疏忽和遺漏造成的應(yīng)用程序端的漏洞,這種漏洞一般是在應(yīng)用端的代碼漏洞,它的典型代表也是廣泛被攻擊者利用的就是SQL注入漏洞。
數(shù)據(jù)庫(kù)軟件漏洞的成因非常復(fù)雜,這主要是因?yàn)閿?shù)據(jù)庫(kù)軟件自身非常復(fù)雜,包含了大量的邏輯關(guān)系。數(shù)據(jù)庫(kù)設(shè)計(jì)開(kāi)發(fā)人員在設(shè)計(jì)和開(kāi)發(fā)這些邏輯的過(guò)程中因?yàn)槭韬龌蜻z漏造成數(shù)據(jù)庫(kù)漏洞的形成,從而導(dǎo)致數(shù)據(jù)庫(kù)存在大量的安全漏洞。這些漏洞主要包括:數(shù)據(jù)庫(kù)端的SQL注入、提權(quán)、緩沖區(qū)溢出攻擊等……正是這些漏洞的存在,使得攻擊者能夠成功攻陷數(shù)據(jù)庫(kù),從中獲取敏感數(shù)據(jù)。
數(shù)據(jù)庫(kù)軟件主要包含三個(gè)主要組件:網(wǎng)絡(luò)監(jiān)聽(tīng)組件和關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)以及SQL編程組件(例如pl/sql)。
l 網(wǎng)絡(luò)監(jiān)聽(tīng)組件一般是數(shù)據(jù)庫(kù)通訊的中心。監(jiān)聽(tīng)往往不光負(fù)責(zé)接受網(wǎng)絡(luò)請(qǐng)求,還要進(jìn)行數(shù)據(jù)庫(kù)身份驗(yàn)證的檢驗(yàn)。
l 關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)主要用來(lái)保證整個(gè)數(shù)據(jù)庫(kù)高效、有序的運(yùn)行。
l SQL編程組件主要帶給數(shù)據(jù)庫(kù)一定的SQL擴(kuò)展能力。例如ORACLE的PL/SQL。Pl/sql是基于ADA語(yǔ)言開(kāi)發(fā)的,最早出現(xiàn)在Oracle 6逐漸發(fā)展到現(xiàn)在可以實(shí)現(xiàn)存儲(chǔ)過(guò)程、創(chuàng)建自定義函數(shù)、實(shí)現(xiàn)觸發(fā)器和以外部庫(kù)的方式調(diào)用C函數(shù)和JAVA。
這三個(gè)組件是數(shù)據(jù)庫(kù)的核心,同時(shí)也是數(shù)據(jù)庫(kù)安全中最易受到威脅的部分。根據(jù)數(shù)據(jù)庫(kù)被入侵的方式來(lái)分可以分成針對(duì)數(shù)據(jù)庫(kù)的四種漏洞威脅。接下來(lái)的文章,我們將對(duì)這四種數(shù)據(jù)庫(kù)安全漏洞威脅逐一展開(kāi)說(shuō)明。
試用申請(qǐng)
在線咨詢
咨詢電話
TOP