返回
sqlserver数据库安全漏洞及防范策略的探讨

sqlserver数据库安全漏洞及防范策略的探讨

ID:43984597

大小:30.50 KB

页数:6页

时间:2019-10-17

sqlserver数据库安全漏洞及防范策略的探讨_第1页
sqlserver数据库安全漏洞及防范策略的探讨_第2页
sqlserver数据库安全漏洞及防范策略的探讨_第3页
sqlserver数据库安全漏洞及防范策略的探讨_第4页
sqlserver数据库安全漏洞及防范策略的探讨_第5页
资源描述:

《sqlserver数据库安全漏洞及防范策略的探讨》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、SQLServer数据库安全漏洞及防范策略的探讨摘要:本文在阐述数据库机构的基础上,对数据库存在的安全漏洞进行了分析,并针对漏洞提出了相应的管理策略。关键词:安全漏洞;管理策略中图分类号:TP311.13随着社会信息化程度的不断提高,各行各业对信息系统的依赖性越来越高,数据库作为信息系统的核心担当着重要的角色。尤其在一些对数据可靠性要求很高的行业如银行、证券、电信等,如果发生意外停机或数据丢失其损失会十分惨重。数据库作为数据资料的存储和管理的仓库,对系统的稳定运行起肴关键的支撑作用,数据库存储的数据越来越庞大,而且重要性和机密性越来越强,数据库系统也成为黑客攻击的主要目标,一旦数据资

2、料遭到破坏或者入侵,系统将无法提供正常的服务甚至机密泄露。因此,数据库的安全对于整个系统的稳定运行至关重要。1数据库安全漏洞安全漏洞是指受限制的计算机、组件、应用程序或其他联机资源的无意屮留下的不受保护的入口点。漏洞是硬件软件或使用策略上的缺陷,病毒和黑客通过漏洞对计算机进行攻击。数据库的漏洞主耍有以下儿方面:1.1弱用户名或密码SQLServer服务器级有两种身份验证模式:混合验证模式、windows集成验证模式。Windows身份验证模式是SQLServer2000中的默认身份验证模式。在Windows身份验证模式下,SQLServer2000仅依赖用户的Windows身份验证。

3、在混合模式下,可以使用Windows身份验证或SQLServer身份验证对用户进彳亍验证。SQLServer身份验证的用户的用户名和密码经过验证后才能登陆,当用户名和密码的复杂程度不够高,健壮性不强时,通过暴力破解,攻击者不断地输入用户名和密码组合,直到找到可以登录的一组,非法入侵数据库。1.2SQL注入SQL注入是SQL查询命令通过插入到Web表单提交或输入域名或页面请求的查询字符串中,达到欺骗服务器执行恶意的SQL命令,是发生在应用程序之数据库层的安全漏洞。SQL注入攻击是最为常见的Web应用程序攻击技术。同时SQL注入攻击所带來的安全破坏也是不可弥补的。1.3启用不必要的数据库

4、服务数据库启动不必要的数据库服务功能,黑客通过端口扫描技术检测开放的端口,并且通过扫描程序,检测缺省系统用户是否被锁定,如未被锁定,黑客并利用权限存在的漏洞,将系统用户的权限提升至DBA,对数据库进行访问,恶意修改数据库。1.4缓冲区溢出缓冲区溢出是一种非常普遍和危险的漏洞,利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。由于代码不严谨导致数据库缓冲区溢出,或者函数参数、过长的连接串、SQL语句存在于数据库内核中,给黑客提供代码段被覆盖的漏洞,黑客通过任意覆盖代码段对数据库服务器进

5、行各种操作,最终致使数据库崩溃,引起数据库拒绝服务。1.5拒绝服务攻击数据库中命名管道拒绝服务、拒绝登录、RPC请求拒绝服务等存在漏洞时,导致服务访问被拒绝。主要表现在:远程攻击者向数据库发送不正确格式的TDS数据包请求引起拒绝服务;远程或本地用户利用向命名管道发送一个长请求导致拒绝服务;处理用户提交的函数的参数如果存在漏洞,不正确的参数数据会导致服务器崩溃。1.6权限提升漏洞黑客通过攻击数据库平台软件的漏洞,把普通用户的访问权限提升为管理员权限。当黑客拥有管理者权限后,就可以对数据库进行任意操作,从而导致数据泄露和系统崩溃。1.7敏感数据透明传输在通常使用的数据库中,数据资料通常以

6、明文形式存储在硕件设备中,一旦存储数据的硬件设备丢失将有引起信息泄密的风险。丢失的数据文件往往以明文形式存在于操作系统中,非法获取者可以通过网站、操作系统读取到这些文件,从而时数据库数据遭到泄密。另外,获取数据文件者也可以通过文本工具读取明文的部分信息,或者通过DUL/MyDUL工具完全恢复原始数据库数据文件。7天酒店数据库被盗就是典型的数据库泄密。2管理策略数据库安全(DalaBaseSecurity)是指采取各种安全措施对数据库及其相关文件和数据进行保护。数据库安全包含两方面内容:第一层是数据库系统本身安全性问题;例如安全保护的策略,尤其是控制访问的策略,尽可能地杜绝所有可能的数

7、据库非法访问。第二层是指系统信息安全,通过对数据库访问的控制和数据安全防护,来保护数据库数据的完整性、独立性、数据安全性、并发控制、故障恢复等儿个方面。2.1使用安全的密码策略配置的数据库账号密码过于简单,使得密码很容易被盗,因此应该设置复杂度高和健壮强的密码,根据最小授权原则为每个数据库用户授权,数据库用户账号长度一般建议大于或者等于10,并且应该包含数字和字母,最好通过一个口令检验函数来验证口令的安全度。并且定期修改用户密码,数据库管理员对密码和账号进

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。