第9章Web数据库安全性 本章内容 数据库安全概述 ● Access数据库可能被下载的漏洞 ●SQL数据库安全 数据库的备份 IS的安全性分析 ASP漏洞及解决方法 IS、ASP的安全问题一点建议
第9章 Web数据库安全性 本章内容: l 数据库安全概述 l Access数据库可能被下载的漏洞 l SQL数据库安全 l 数据库的备份 l IIS的安全性分析 l ASP漏洞及解决方法 l IIS、ASP的安全问题一点建议
近年来,安全问题逐步成为企业信息主 管关注和讨论的焦点。 个好的安全解决方案离不开适当的安 全目标和策略,而围绕企业重点资产和高风 险威胁所进行的风险评估则是规划的基础 在规划企业安全时会考虑众多威胁,绝 大多数企业甚至是聘请的安全公司,往往把 注意力集中于网络和操作系统安全,而容易 忽视最重要的数据库安全 数据库安全是一个广阔的领域,它作为 操作系统之上的应用平台,其安全与网络和 主机安全息息相关
近年来,安全问题逐步成为企业信息主 管关注和讨论的焦点。 一个好的安全解决方案离不开适当的安 全目标和策略,而围绕企业重点资产和高风 险威胁所进行的风险评估则是规划的基础。 在规划企业安全时会考虑众多威胁,绝 大多数企业甚至是聘请的安全公司,往往把 注意力集中于网络和操作系统安全,而容易 忽视最重要的数据库安全。 数据库安全是一个广阔的领域,它作为 操作系统之上的应用平台,其安全与网络和 主机安全息息相关
91数据库安全综述 911为何需要数据库安全? 在计算机世界,数据库显然存放着在线资源中 最真实和最有价值的那部分资产。在数据库中, 这些数据一旦遭受安全威胁将带来难以想象的严 重后果 企业对数据的一个最基本要求,就是要确保 它们能够在任何时候,被任何授权用户方便、高 效地访问。为此,企业会考虑创造多种对数据的 访问通道,并确保它们的安全。但是,这些通道 是动态的,即当网络扩展时,它们随之创建或改 变,并可能在未察觉和任何保护情形下不再可用 通过对数据库自身的安全保护,企业将可以在数 据受到真正的威胁前设置最后一道防御屏障
9.1 数据库安全综述 9.1.1 为何需要数据库安全? 在计算机世界,数据库显然存放着在线资源中 最真实和最有价值的那部分资产。在数据库中, 这些数据一旦遭受安全威胁将带来难以想象的严 重后果。 企业对数据的一个最基本要求,就是要确保 它们能够在任何时候,被任何授权用户方便、高 效地访问。为此,企业会考虑创造多种对数据的 访问通道,并确保它们的安全。但是,这些通道 是动态的,即当网络扩展时,它们随之创建或改 变,并可能在未察觉和任何保护情形下不再可用。 通过对数据库自身的安全保护,企业将可以在数 据受到真正的威胁前设置最后一道防御屏障
91.2常见的数据库安全问题及原因 虽然数据库安全的需求很明显,但多数企业还 是不愿在发生了无可挽回的事件之前就着手考虑 和解决相关的安全问题,让我们考查以下可能危 及数据库安全的常见因素 (1)脆弱的帐号设置。 (2)缺乏角色分离。 (3)缺乏审计跟踪 (4)未利用的数据库安全特征
9.1.2 常见的数据库安全问题及原因 虽然数据库安全的需求很明显,但多数企业还 是不愿在发生了无可挽回的事件之前就着手考虑 和解决相关的安全问题,让我们考查以下可能危 及数据库安全的常见因素: (1)脆弱的帐号设置。 (2)缺乏角色分离。 (3)缺乏审计跟踪。 (4)未利用的数据库安全特征
91.3数据库安全管理原则 个强大的数据库安全系统应当确保其中信息 的安全性并对其有效地控制。下面列举的原则有 助于企业在安全规划中实现客户利益保障,策略 制订以及对信息资源的有效保护 (1)管理细分和委派原则。 (2)最小权限原则。许多新的保密规则针对对特 定数据的授权访问 (3)帐号安全原则。用户帐号对于每一个数据库 联接来说都是必须的。帐号应遵循传统的用户帐 号管理方法来进行安全管理。 (4)有效的审计。数据库审计是数据库安全的基 本要求
9.1.3 数据库安全管理原则 一个强大的数据库安全系统应当确保其中信息 的安全性并对其有效地控制。下面列举的原则有 助于企业在安全规划中实现客户利益保障,策略 制订以及对信息资源的有效保护。 (1)管理细分和委派原则。 (2)最小权限原则。许多新的保密规则针对对特 定数据的授权访问。 (3)帐号安全原则。用户帐号对于每一个数据库 联接来说都是必须的。帐号应遵循传统的用户帐 号管理方法来进行安全管理。 (4)有效的审计。数据库审计是数据库安全的基 本要求