当前位置:德化新闻中心 > 媒体聚焦 >

运城软件编程开发数据库安全问题都有哪些
时间:2019-11-01  来源:  作者:admin666

对于后端开发程序员来说,掌握数据的架构是提高我们职业能力的一个技术要点,而今天我们就一起来了解一下数据库安全问题都有哪些。

运城软件编程开发数据库安全问题都有哪些

一、用户权限滥用

1、问题现象

用户权限控制用户可以访问哪些资源(例如,资产、应用程序、数据、设备、文件、网络、系统等),以及用户可以对这些资源执行哪些操作。

为了简化用户管理流程,确保用户可以在不触发安全警报或被禁止使用必要资产的情况下完成工作,往往将不受限制或将过多的用户权限广泛分配给组、角色和个人。

结果,如果用户拥有不受限制或过多的权限,数据库的安全性可能会受到危害:

对数据库进行未经授权的更改,包括添加、修改或删除数据。

查看机密或敏感数据,包括知识产权、代码。法律数据,以及员工和客户的个人信息,即使这些数据并非他们工作所必需的。

通过查看、修改或删除审计日志来伪造警报调查。

解决用户权限滥用的潜在问题涉及到预防和检测策略。建议的策略包括以下内容。

2、预防

实施强有力的用户权限管理。

强制职责分离。

考虑将数据库放在位于专用网络的服务器上,并在操作系统、网络、服务器、数据库、表和/或行级别实施多级访问控制。

注:实施多级访问控制需要发现数据库位于何处,数据库中存储了哪些数据,然后按类型、敏感性和价值/风险级别对这些数据进行分类。它还需要创建细粒度的用户特权配置文件,而不是宽泛的用户权限配置文件。

3、检测

进行频繁的特权用户监视,包括审核数据库管理员或其他特权用户输入的所有命令。

频繁进行敏感数据访问审计。

二、弱认证

1、问题现象

薄弱或无效的密码策略、共享用户账户、糟糕的用户登录凭据的加密和/或被盗,以及允许直接访问DBMS/RDMS来规避访问控制,都可能会危及数据库的安全。

解决弱认证问题涉及到预防和检测策略。建议的策略包括以下内容。

2、预防

重新配置应用程序???????系统(例如PeopleSoft和SAP),使它们不能直接连接到数据库,因为身份验证是基于应用程序的凭据,而不是用户的凭据。结果就是,操作系统和数据库都不知道用户的身份,并且无法对特定用户执行访问控制或跟踪操作。

禁用应用程序系统的通用用户账户和默认空密码。取而代之的是,使用不同的名称创建新的用户配置文件/账户。

禁用过期密码和回收的密码。

在DBMS/RDMS中实施密码复杂性和时效性。

对密码进行掩码操作。

对用于访问数据库的用户和设备进行身份验证(尤其是自带设备)。

基于功能单元和角色,创建访问数据库的典型模式的行为基线配置文件或“白名单”,然后重点关注风险高的用户、客户端主机和服务器,这样安全团队就能够优先调查任何异常情况。

3、检测

创建警报,然后调查失败的登陆尝试和账户锁定。

每当对象被访问时,对数据对象进行审核。

审核由直接访问数据的用户编写的所有命令。

【免责声明】本文系本网编辑部分转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与管理员联系,我们会予以更改或删除相关文章,以保证您的权益!




上一篇:app软件开发中常见的消息通知类型分享
下一篇:没有了

图片新闻
热闻排行
友情链接

Copyright (C) 2016 德化新闻中心 版权所有,未经授权禁止复制或镜像,本站保留所有权利
蜀icp备14010686号-1