數(shù)據(jù)庫(kù)安全威脅 1 - 濫用過高權(quán)限

當(dāng)用戶（或應(yīng)用程序）被授予超出了其工作職能所需的數(shù)據(jù)庫(kù)訪問權(quán)限時(shí)，這些權(quán)限可能會(huì)被惡意濫用。例如，一個(gè)大學(xué)管理員在工作中只需要能夠更改學(xué)生的聯(lián)系信息，不過他可能會(huì)利用過高的數(shù)據(jù)庫(kù)更新權(quán)限來(lái)更改分?jǐn)?shù)。

數(shù)據(jù)庫(kù)安全威脅 2 - 濫用合法權(quán)

用戶還可能將合法的數(shù)據(jù)庫(kù)權(quán)限用于未經(jīng)授權(quán)的目的。假設(shè)一個(gè)惡意的醫(yī)務(wù)人員擁有可以通過自定義 Web 應(yīng)用程序查看單個(gè)患者病歷的權(quán)限。通常情況下，該 Web應(yīng)用程序的結(jié)構(gòu)限制用戶只能查看單個(gè)患者的病史，即無(wú)法同時(shí)查看多個(gè)患者的病歷并且不允許復(fù)制電子副本。但是，惡意的醫(yī)務(wù)人員可以通過使用其他客戶端（如MS-Excel）連接到數(shù)據(jù)庫(kù)，來(lái)規(guī)避這些限制。通過使用 MS-Excel 以及合法的登錄憑據(jù)，該醫(yī)務(wù)人員就可以檢索和保存所有患者的病歷。

這種私自復(fù)制患者病歷數(shù)據(jù)庫(kù)的副本的做法不可能符合任何醫(yī)療組織的患者數(shù)據(jù)保護(hù)策略。要考慮兩點(diǎn)風(fēng)險(xiǎn)。第一點(diǎn)是惡意的醫(yī)務(wù)人員會(huì)將患者病歷用于金錢交易。第二點(diǎn)可能更為常見，即員工由于疏忽將檢索到的大量信息存儲(chǔ)在自己的客戶端計(jì)算機(jī)上，用于合法工作目的。一旦數(shù)據(jù)存在于終端計(jì)算機(jī)上，就可能成為特洛伊木馬程序以及筆記本電腦盜竊等的攻擊目標(biāo)。

數(shù)據(jù)庫(kù)安全威脅 3 - 權(quán)限提升

攻擊者可以利用數(shù)據(jù)庫(kù)平臺(tái)軟件的漏洞將普通用戶的權(quán)限轉(zhuǎn)換為管理員權(quán)限。漏洞可以在存儲(chǔ)過程、內(nèi)置函數(shù)、協(xié)議實(shí)現(xiàn)甚至是 SQL語(yǔ)句中找到。例如，一個(gè)金融機(jī)構(gòu)的軟件開發(fā)人員可以利用有漏洞的函數(shù)來(lái)獲得數(shù)據(jù)庫(kù)管理權(quán)限。使用管理權(quán)限，惡意的開發(fā)人員可以禁用審計(jì)機(jī)制、開設(shè)偽造的帳戶以及轉(zhuǎn)帳等。

數(shù)據(jù)庫(kù)安全威脅 4 - 平臺(tái)漏洞

底層操作系統(tǒng)（Windows 2000、UNIX 等）中的漏洞和安裝在數(shù)據(jù)庫(kù)服務(wù)器上的其他服務(wù)中的漏洞可能導(dǎo)致未經(jīng)授權(quán)的訪問、數(shù)據(jù)破壞或拒絕服務(wù)。例如，“沖擊波病毒”就是利用了Windows 2000的漏洞為拒絕服務(wù)攻擊創(chuàng)造條件。

數(shù)據(jù)庫(kù)安全威脅 5 - SQL 注入

在SQL注入攻擊中，入侵者通常將未經(jīng)授權(quán)的數(shù)據(jù)庫(kù)語(yǔ)句插入（或“注入”）到有漏洞的SQL數(shù)據(jù)信道中。通常情況下，攻擊所針對(duì)的數(shù)據(jù)信道包括存儲(chǔ)過程和Web應(yīng)用程序輸入?yún)?shù)。然后，這些注入的語(yǔ)句被傳遞到數(shù)據(jù)庫(kù)中并在數(shù)據(jù)庫(kù)中執(zhí)行。使用SQL注入，攻擊者可以不受限制地訪問整個(gè)數(shù)據(jù)庫(kù)。

防止SQL注入將以下三個(gè)技術(shù)結(jié)合使用可以有效地抵御SQL注入：入侵防御系統(tǒng)(IPS)、查詢級(jí)別訪問控制（請(qǐng)參閱“濫用過高權(quán)限”）和事件相關(guān)。IPS可以識(shí)別有漏洞的存儲(chǔ)過程或SQL注入字符串。但是，單獨(dú)使用IPS并不可靠， 因?yàn)镾QL注入字符串很容易發(fā)生誤報(bào)。如果只依賴IPS，安全管理人員會(huì)發(fā)現(xiàn)大量“可能的”SQL注入警報(bào)，被搞得焦頭爛額。

數(shù)據(jù)庫(kù)安全威脅的分析就為大家介紹完了。希望大家已經(jīng)掌握。

【編輯推薦】

1. 網(wǎng)絡(luò)安全關(guān)鍵技術(shù)
2. 給你預(yù)防病毒的八個(gè)忠告
3. 六大網(wǎng)絡(luò)安全威脅發(fā)展趨勢(shì)
4. 企業(yè)用戶防御網(wǎng)絡(luò)威脅十要素