對關鍵系統(tǒng)建立強健的基于策略的訪問和活動監(jiān)視可以阻止內部人員攻擊。活動監(jiān)視和審計提供對可疑活動的警告功能,從而可以對可疑活動及時采取行動。數(shù)據(jù)庫安全解決方案允許IT和安全人根據(jù)不同的活動類型設置不同的警告級別,可以用不同的格式智能地過濾這些警告,并根據(jù)預先定義的策略來定義用戶組或個人。

  管理員應當為插入、更新、刪除等命令創(chuàng)建存儲過程。在存儲過程中,管理員可以將一條記錄插入到日志表中,要記錄所需要的細節(jié)。管理員可以用存儲過程來撤銷對數(shù)據(jù)庫表的插入、更新、刪除等語句。注意,屬于特定角色(如db_owner)的任何人仍能夠直接對表進行操作。

  管理員還應當對表的更新、插入、刪除等建立觸發(fā)器。在觸發(fā)器中,可以將任何東西記錄到日志表中。通過此法,可以將所有的數(shù)據(jù)修改操作記錄下來,而不管其實現(xiàn)方式(直接的SQL語句或通過存儲過程)。

  四、錯誤配置

  黑客可以使用數(shù)據(jù)庫的錯誤配置控制“肉機”訪問點,借以繞過認證方法并訪問敏感信息。這種配置缺陷成為攻擊者借助特權提升發(fā)動某些攻擊的主要手段。如果沒有正確的重新設置數(shù)據(jù)庫的默認配置,非特權用戶有可能訪問未加密的文件,未打補丁的漏洞有可能導致非授權用戶訪問敏感數(shù)據(jù)。

  1、修復默認的、空白的、弱口令。確保所有的數(shù)據(jù)庫都擁有復雜的口令,并清除空白的、默認的及弱口令。要保證每一個實例都使用獨立的口令,要強化企業(yè)當前正在使用的口令策略,并將其擴展到所有的網(wǎng)絡登錄中。如果數(shù)據(jù)庫支持,可以考慮使用網(wǎng)絡認證,如活動目錄,而不使用用戶名和口令認證。

  2、加密靜態(tài)和動態(tài)的敏感數(shù)據(jù)。不要把敏感數(shù)據(jù)以明文形式存放到數(shù)據(jù)庫中的表中。通過修復數(shù)據(jù)庫漏洞,并密切監(jiān)視對敏感數(shù)據(jù)存儲的訪問,數(shù)據(jù)庫專業(yè)人員可以發(fā)現(xiàn)并阻止攻擊。防御SQL注入攻擊要求一種多層的方法,保護措施必須與端到端的檢查結合起來,這意味著無論是Web應用程序還是數(shù)據(jù)庫的基礎架構都要納入到解決方案中。

  五、未打補丁的漏洞

  如今攻擊已經(jīng)從公開的漏洞利用發(fā)展到更精細的方法,并敢于挑戰(zhàn)傳統(tǒng)的入侵檢測機制。漏洞利用的腳本在數(shù)據(jù)庫補丁發(fā)布的幾小時內可以被發(fā)到網(wǎng)上。當即可以使用的漏洞利用代碼,再加上幾十天的補丁周期(在多數(shù)企業(yè)中如此),實質上幾乎把數(shù)據(jù)庫的大門完全打開了。

  使用專業(yè)工具發(fā)現(xiàn)并修復這些漏洞,然后再結合監(jiān)視沒有打補丁的漏洞可以保護企業(yè)免受這種風險。

  六、高級持續(xù)性威脅

  之所以稱其為高級持續(xù)性威脅,是因為實施這種威脅的是有組織的專業(yè)公司或政府機構,它們掌握了威脅數(shù)據(jù)庫安全的大量技術和技巧,而且是“咬定青山不放松”“立根原在‘金錢(有資金支持)’中”,“千磨萬擊還堅勁,任爾東西南北風”。這是一種正甚囂塵上的風險:熱衷于竊取數(shù)據(jù)的公司甚至外國政府專門竊取存儲在數(shù)據(jù)庫中的大量關鍵數(shù)據(jù),不再滿足于獲得一些簡單的數(shù)據(jù)。特別是一些個人的私密及金融信息,一旦失竊,這些數(shù)據(jù)記錄可以在信息黑市上銷售或使用,并被其它政府機構操縱。鑒于數(shù)據(jù)庫攻擊涉及到成千上萬甚至上百萬的記錄,所以其日益增長和普遍。通過鎖定數(shù)據(jù)庫漏洞并密切監(jiān)視對關鍵數(shù)據(jù)存儲的訪問,數(shù)據(jù)庫的專家們可以及時發(fā)現(xiàn)并阻止這些攻擊。

  小結:將安全作為一個過程

  不少企業(yè)的安全解決方案是作為應對已知風險的一系列技術而部署的,而不是作為一種保障企業(yè)安全的綜合方法和過程。安全并不是購買并部署了安全產(chǎn)品那么簡單,它是一個需要持續(xù)關注的過程。例如,在企業(yè)部署了Web應用程序防火墻后,還應當經(jīng)常檢查其有效性和可用性,隨著業(yè)務的開展而對其進行調整。再比如,在購買了某軟件后,你還得關注它有沒有漏洞,開發(fā)商什么時候提供補丁下載和安裝。

  此外,企業(yè)如果不把對雇員的教育放在首位,任何安全措施都會成為空談。所以,構建一種能夠隨著企業(yè)的增長和變化而演變的系統(tǒng)化的動態(tài)過程,才能更有效地保障當今的動態(tài)環(huán)境。