對關(guān)鍵系統(tǒng)建立強(qiáng)健的基于策略的訪問和活動監(jiān)視可以阻止內(nèi)部人員攻擊;顒颖O(jiān)視和審計(jì)提供對可疑活動的警告功能,從而可以對可疑活動及時(shí)采取行動。數(shù)據(jù)庫安全解決方案允許IT和安全人根據(jù)不同的活動類型設(shè)置不同的警告級別,可以用不同的格式智能地過濾這些警告,并根據(jù)預(yù)先定義的策略來定義用戶組或個(gè)人。

  管理員應(yīng)當(dāng)為插入、更新、刪除等命令創(chuàng)建存儲過程。在存儲過程中,管理員可以將一條記錄插入到日志表中,要記錄所需要的細(xì)節(jié)。管理員可以用存儲過程來撤銷對數(shù)據(jù)庫表的插入、更新、刪除等語句。注意,屬于特定角色(如db_owner)的任何人仍能夠直接對表進(jìn)行操作。

  管理員還應(yīng)當(dāng)對表的更新、插入、刪除等建立觸發(fā)器。在觸發(fā)器中,可以將任何東西記錄到日志表中。通過此法,可以將所有的數(shù)據(jù)修改操作記錄下來,而不管其實(shí)現(xiàn)方式(直接的SQL語句或通過存儲過程)。

  四、錯(cuò)誤配置

  黑客可以使用數(shù)據(jù)庫的錯(cuò)誤配置控制“肉機(jī)”訪問點(diǎn),借以繞過認(rèn)證方法并訪問敏感信息。這種配置缺陷成為攻擊者借助特權(quán)提升發(fā)動某些攻擊的主要手段。如果沒有正確的重新設(shè)置數(shù)據(jù)庫的默認(rèn)配置,非特權(quán)用戶有可能訪問未加密的文件,未打補(bǔ)丁的漏洞有可能導(dǎo)致非授權(quán)用戶訪問敏感數(shù)據(jù)。

  1、修復(fù)默認(rèn)的、空白的、弱口令。確保所有的數(shù)據(jù)庫都擁有復(fù)雜的口令,并清除空白的、默認(rèn)的及弱口令。要保證每一個(gè)實(shí)例都使用獨(dú)立的口令,要強(qiáng)化企業(yè)當(dāng)前正在使用的口令策略,并將其擴(kuò)展到所有的網(wǎng)絡(luò)登錄中。如果數(shù)據(jù)庫支持,可以考慮使用網(wǎng)絡(luò)認(rèn)證,如活動目錄,而不使用用戶名和口令認(rèn)證。

  2、加密靜態(tài)和動態(tài)的敏感數(shù)據(jù)。不要把敏感數(shù)據(jù)以明文形式存放到數(shù)據(jù)庫中的表中。通過修復(fù)數(shù)據(jù)庫漏洞,并密切監(jiān)視對敏感數(shù)據(jù)存儲的訪問,數(shù)據(jù)庫專業(yè)人員可以發(fā)現(xiàn)并阻止攻擊。防御SQL注入攻擊要求一種多層的方法,保護(hù)措施必須與端到端的檢查結(jié)合起來,這意味著無論是Web應(yīng)用程序還是數(shù)據(jù)庫的基礎(chǔ)架構(gòu)都要納入到解決方案中。

  五、未打補(bǔ)丁的漏洞

  如今攻擊已經(jīng)從公開的漏洞利用發(fā)展到更精細(xì)的方法,并敢于挑戰(zhàn)傳統(tǒng)的入侵檢測機(jī)制。漏洞利用的腳本在數(shù)據(jù)庫補(bǔ)丁發(fā)布的幾小時(shí)內(nèi)可以被發(fā)到網(wǎng)上。當(dāng)即可以使用的漏洞利用代碼,再加上幾十天的補(bǔ)丁周期(在多數(shù)企業(yè)中如此),實(shí)質(zhì)上幾乎把數(shù)據(jù)庫的大門完全打開了。

  使用專業(yè)工具發(fā)現(xiàn)并修復(fù)這些漏洞,然后再結(jié)合監(jiān)視沒有打補(bǔ)丁的漏洞可以保護(hù)企業(yè)免受這種風(fēng)險(xiǎn)。

  六、高級持續(xù)性威脅

  之所以稱其為高級持續(xù)性威脅,是因?yàn)閷?shí)施這種威脅的是有組織的專業(yè)公司或政府機(jī)構(gòu),它們掌握了威脅數(shù)據(jù)庫安全的大量技術(shù)和技巧,而且是“咬定青山不放松”“立根原在‘金錢(有資金支持)’中”,“千磨萬擊還堅(jiān)勁,任爾東西南北風(fēng)”。這是一種正甚囂塵上的風(fēng)險(xiǎn):熱衷于竊取數(shù)據(jù)的公司甚至外國政府專門竊取存儲在數(shù)據(jù)庫中的大量關(guān)鍵數(shù)據(jù),不再滿足于獲得一些簡單的數(shù)據(jù)。特別是一些個(gè)人的私密及金融信息,一旦失竊,這些數(shù)據(jù)記錄可以在信息黑市上銷售或使用,并被其它政府機(jī)構(gòu)操縱。鑒于數(shù)據(jù)庫攻擊涉及到成千上萬甚至上百萬的記錄,所以其日益增長和普遍。通過鎖定數(shù)據(jù)庫漏洞并密切監(jiān)視對關(guān)鍵數(shù)據(jù)存儲的訪問,數(shù)據(jù)庫的專家們可以及時(shí)發(fā)現(xiàn)并阻止這些攻擊。

  小結(jié):將安全作為一個(gè)過程

  不少企業(yè)的安全解決方案是作為應(yīng)對已知風(fēng)險(xiǎn)的一系列技術(shù)而部署的,而不是作為一種保障企業(yè)安全的綜合方法和過程。安全并不是購買并部署了安全產(chǎn)品那么簡單,它是一個(gè)需要持續(xù)關(guān)注的過程。例如,在企業(yè)部署了Web應(yīng)用程序防火墻后,還應(yīng)當(dāng)經(jīng)常檢查其有效性和可用性,隨著業(yè)務(wù)的開展而對其進(jìn)行調(diào)整。再比如,在購買了某軟件后,你還得關(guān)注它有沒有漏洞,開發(fā)商什么時(shí)候提供補(bǔ)丁下載和安裝。

  此外,企業(yè)如果不把對雇員的教育放在首位,任何安全措施都會成為空談。所以,構(gòu)建一種能夠隨著企業(yè)的增長和變化而演變的系統(tǒng)化的動態(tài)過程,才能更有效地保障當(dāng)今的動態(tài)環(huán)境。