www.zjcoo.com

 　　1、　　錯誤配置的網絡分段

　　安全最佳做(zuò)法和(hé)法規都大(dà)肆吹捧網絡分段是控制(zhì)風險範圍以保護高(gāo)價值數(shù)據庫資産的重要方式。但(dàn)是如果配置不當的話(huà)，尤其是在防火(huǒ)牆的規則集中，這些(xiē)網絡分段的安全漏洞都可(kě)能讓數(shù)據庫洩露。安全咨詢公司Principle Logic公司的創始人(rén)Kevin Beaver花(huā)了大(dà)部分時(shí)間(jiān)在為(wèi)客戶執行(xíng)網絡安全和(hé)web應用程序安全評估的工作(zuò)上(shàng)。他的評估結果經常顯示企業在分段網絡時(shí)糟糕的工作(zuò)情況。

　　2、泛濫的數(shù)據庫系統特權賬戶

　　即使是在整個(gè)IT基礎設施部署了高(gāo)效身份和(hé)訪問管理(lǐ)工具和(hé)程序的企業，數(shù)據庫往往都處于無人(rén)看管的狀況。“企業經常忘記将數(shù)據庫用戶的身份生(shēng)命周期管理(lǐ)綁定到他們的IAM核心中，尤其是共享賬戶和(hé)服務賬戶，”Identropy首席架構師(shī)Nishant Kaushik表示，“數(shù)據庫訪問必須與配置、強大(dà)的身份驗證和(hé)特權賬戶管理(lǐ)工具配合工作(zuò)。”

　　但(dàn)事實上(shàng)，IT部門(mén)往往允許開(kāi)發人(rén)員和(hé)其他IT系統管理(lǐ)員通(tōng)過幾乎無限制(zhì)權限的系統賬戶來(lái)進入數(shù)據庫。這些(xiē)賬戶經常在訪問控制(zhì)或監控系統的控制(zhì)之外被使用，并且很(hěn)容易被內(nèi)部人(rén)員濫用或者被外部攻擊人(rén)員用于發動數(shù)據庫攻擊。

　　3、　　不安全的Web應用程序

　　盡管OWASP等組織在過去幾年中積極傳播最佳的安全編程方法，但(dàn)事實是互聯網中仍然存在數(shù)百萬存在漏洞的Web應用程序，這些(xiē)應用程序将用戶引導到哪裏?當然是到後端數(shù)據庫。Accuvant LABS首席安全架構師(shī)，同時(shí)也是著名數(shù)據庫安全研究人(rén)員David Litchfield表示，縮小(xiǎo)漏洞差距的進展非常緩慢。

　　Litchfield表示：“這相當令人(rén)沮喪，尤其是看到幾年前開(kāi)始使用的相同工具包到現在仍然能夠很(hěn)好地用于滲透測試時(shí)。最糟糕的部分就是開(kāi)發人(rén)員仍然開(kāi)發出存在以前相同錯誤的新應用程序，例如，無法驗證輸入。”他表示，高(gāo)等教育機構仍然沒有(yǒu)教授學生(shēng)多(duō)年前開(kāi)發出來(lái)的安全編程原則，你(nǐ)以為(wèi)這些(xiē)從大(dà)學畢業的開(kāi)發人(rén)員會(huì)知道(dào)這些(xiē)基本知識，但(dàn)是其實他們并沒有(yǒu)學過。

　　如果有(yǒu)企業把自己的數(shù)據庫放在互聯網上(shàng)，卻又沒有(yǒu)對它進行(xíng)管理(lǐ)，沒有(yǒu)按時(shí)進行(xíng)監測，等到發生(shēng)了數(shù)據洩露才意識到事态的嚴重性，這樣就已經太晚了，所以中技(jì)特意從這三大(dà)點來(lái)給大(dà)家(jiā)講講數(shù)據庫的安全問題如何處理(lǐ)。

重慶中技互聯網信息咨詢有限公司 www.zjcoo.com