學(xué)習(xí)java一定不能忽略的10個(gè)常見的數(shù)據(jù)庫安全問題-粵嵌培訓(xùn)

更新時(shí)間： 2018-09-12 14:27:56來源： java培訓(xùn)瀏覽量：6261

    這次我們來聊聊java數(shù)據(jù)庫的安全問題，數(shù)據(jù)庫因包含有各種有價(jià)值的敏感信息，例如金融或知識(shí)產(chǎn)權(quán)信息、公司數(shù)據(jù)、個(gè)人用戶數(shù)據(jù)等等，一直是黑客攻擊的目標(biāo)，黑客企圖通過破壞服務(wù)器、數(shù)據(jù)庫來獲利，因此，數(shù)據(jù)庫安全測試是必不可少的。
    黑客攻擊公司的事件比比皆是，過去的幾年中，Equifax，F(xiàn)acebook，雅虎，蘋果，Gmail，Slack和eBay都曾發(fā)生過數(shù)據(jù)泄露事。而這種情況也引發(fā)了企業(yè)對(duì)網(wǎng)絡(luò)安全軟件和web應(yīng)用程序測試的需求，通過采用這些措施，黑客將被拒絕訪問在線數(shù)據(jù)庫中的可用記錄和文檔。另外，嚴(yán)格遵守GDPR有助于加強(qiáng)用戶數(shù)據(jù)保護(hù)。
    那么數(shù)據(jù)庫驅(qū)動(dòng)系統(tǒng)中常見的漏洞有哪些呢？我們總結(jié)了常見的十大漏洞以及消除這些漏洞的技巧。

    一、部署前無安全測試
    數(shù)據(jù)庫被攻擊常見的原因之一就是在開發(fā)過程中部署階段的疏忽。雖然為了確保高性能，企業(yè)可能進(jìn)行了功能測試，但是這種類型的測試無法顯示數(shù)據(jù)庫是否正在執(zhí)行不應(yīng)該執(zhí)行的操作。因此，在完全部署之前，使用不同類型的測試來測試網(wǎng)站安全性是非常重要的。

    二、糟糕的加密與數(shù)據(jù)泄露密不可分
    很多人都會(huì)把數(shù)據(jù)庫視為后端部分，因此更多的是在關(guān)注Internet傳播的威脅，但其實(shí)他們都忽略了數(shù)據(jù)庫也是有網(wǎng)絡(luò)接口的，如果軟件安全性很差，黑客同樣可以輕松跟蹤這些接口。為了避免這種情況，使用TLS或SSL加密通信平臺(tái)很重要。

    三、虛弱的網(wǎng)絡(luò)安全軟件=破碎的數(shù)據(jù)庫
    Equifax數(shù)據(jù)泄露事件，公司承認(rèn)有1.47億消費(fèi)者的數(shù)據(jù)受到損害，造成的后果非常嚴(yán)重。這個(gè)案例證明了網(wǎng)絡(luò)安全軟件對(duì)于保護(hù)數(shù)據(jù)庫的重要性。不過，大多數(shù)企業(yè)因?yàn)槿狈Y源或時(shí)間原因不愿意進(jìn)行用戶數(shù)據(jù)安全測試，甚至也不為系統(tǒng)提供定期補(bǔ)丁，因此容易導(dǎo)致數(shù)據(jù)泄露。

    四、數(shù)據(jù)庫被盜
    數(shù)據(jù)庫一般有兩種威脅：外部威脅和內(nèi)部威脅。在某些情況下，內(nèi)部威脅的嚴(yán)重程度甚至?xí)^外部威脅，因?yàn)闊o論企業(yè)使用什么樣的安全軟件都無法保證員工的忠誠度，任何有權(quán)訪問敏感數(shù)據(jù)的人都有機(jī)會(huì)竊取它并將其出售給第三方組織以獲取利潤。但是，有一種方法可以消除風(fēng)險(xiǎn)：加密數(shù)據(jù)庫檔案，實(shí)施嚴(yán)格的安全標(biāo)準(zhǔn)，在違規(guī)情況下罰款，使用網(wǎng)絡(luò)安全軟件，并通過公司會(huì)議和個(gè)人咨詢不斷提高團(tuán)隊(duì)的意識(shí)。

    五、功能中的缺陷成為了數(shù)據(jù)庫安全問題
    黑客可以利用數(shù)據(jù)庫的功能缺陷進(jìn)行攻擊，通過破解合法憑據(jù)并強(qiáng)制系統(tǒng)運(yùn)行任意代碼。雖然這聽起來有點(diǎn)復(fù)雜，但這是基于功能固有的缺陷，所以可以通過安全測試保護(hù)數(shù)據(jù)庫免受第三方訪問。此外，其功能結(jié)構(gòu)越簡單，確保對(duì)每個(gè)數(shù)據(jù)庫功能進(jìn)行良好保護(hù)的機(jī)會(huì)就越多。

    六、弱而復(fù)雜的數(shù)據(jù)庫基礎(chǔ)架構(gòu)
    黑客通常不會(huì)一次控制整個(gè)數(shù)據(jù)庫，他們會(huì)利用基礎(chǔ)設(shè)施中存在的特殊弱點(diǎn)并將其用于自己的優(yōu)勢。安全軟件無法完全保護(hù)系統(tǒng)免受此類操作。即使想要避免功能缺陷，就不要讓整個(gè)數(shù)據(jù)庫基礎(chǔ)結(jié)構(gòu)過于復(fù)雜。當(dāng)它很復(fù)雜時(shí)，你有可能忘記或忽視檢查和修復(fù)它的弱點(diǎn)。因此，重要的是每個(gè)部門保持相同的控制量并隔離系統(tǒng)以分散重點(diǎn)并降低可能的風(fēng)險(xiǎn)。

    七、無限的管理訪問=糟糕的數(shù)據(jù)保護(hù)
    管理員和用戶之間應(yīng)該有明確的分工，確保團(tuán)隊(duì)是有限制性的訪問，這樣如果有用戶試圖竊取任何數(shù)據(jù)，那么也會(huì)因未參與數(shù)據(jù)庫管理的過程而遇到更多困難。如果還可以限制用戶帳戶的數(shù)量，那就更好了，因?yàn)楹诳鸵矔?huì)在獲得對(duì)數(shù)據(jù)庫的控制權(quán)方面遇到更多問題。這種情況通常會(huì)發(fā)生在金融行業(yè)，他們不僅要關(guān)心誰有權(quán)訪問敏感數(shù)據(jù)，還要在發(fā)布之前執(zhí)行銀行軟件測試。

    八、測試網(wǎng)站安全性以避免SQL注入
    因?yàn)樽⑷牍魬?yīng)用程序，數(shù)據(jù)庫管理員被迫清除插入到字符串中的惡意代碼和變量。Web應(yīng)用程序安全測試和防火墻實(shí)施是保護(hù)面向Web數(shù)據(jù)庫的選擇。不過，這對(duì)于在線業(yè)務(wù)來說是一個(gè)大問題，但對(duì)于移動(dòng)業(yè)務(wù)來說卻不是挑戰(zhàn)，而對(duì)于只有移動(dòng)版本的應(yīng)用程序來說這是一個(gè)很大的優(yōu)勢。

    九、密鑰管理不足
    對(duì)敏感數(shù)據(jù)進(jìn)行加密是很重要的，但同樣重要的是要注意誰可以訪問密鑰。由于密鑰通常存儲(chǔ)在硬盤上，因此對(duì)于想要竊取的人來說，這顯然是一個(gè)容易攻擊的目標(biāo)。

    十、數(shù)據(jù)庫中的不規(guī)范
    導(dǎo)致數(shù)據(jù)庫漏洞的原因多種多樣，因?yàn)樾枰獪y試網(wǎng)站安全性并定期進(jìn)行數(shù)據(jù)保護(hù)。如果發(fā)現(xiàn)有任何差異，一定要盡快修復(fù)。而企業(yè)開發(fā)人員應(yīng)該要了解可能會(huì)影響數(shù)據(jù)庫的任何威脅。雖然企業(yè)可能已經(jīng)意識(shí)到要進(jìn)行安全測試，但是仍有很多企業(yè)都無法實(shí)施，因?yàn)橹旅e(cuò)誤通常會(huì)出現(xiàn)在開發(fā)階段，或者是應(yīng)用程序集成期間、修補(bǔ)和更新數(shù)據(jù)庫期間。

上一篇：JAVA學(xué)習(xí)，數(shù)據(jù)庫遷移怎么才能更快？-粵嵌培訓(xùn)

下一篇：java學(xué)習(xí)，如何寫出“正確”但被編譯器認(rèn)為有語法錯(cuò)誤的程序-粵嵌培訓(xùn)

學(xué)習(xí)java一定不能忽略的10個(gè)常見的數(shù)據(jù)庫安全問題-粵嵌培訓(xùn)

免費(fèi)預(yù)約試聽課

粵嵌動(dòng)態(tài)

學(xué)習(xí)java一定不能忽略的10個(gè)常見的數(shù)據(jù)庫安全問題-粵嵌培訓(xùn)

免費(fèi)預(yù)約試聽課

粵嵌動(dòng)態(tài)

推薦閱讀