目录
Oracle数据库安全分析与防护
数据库oracle是数据库领域的老大,它的安全机制很多,第一个是用户认证,除了oracle数据库认证以外,它还集成支持操作系统认证、网络认证、多级认证、SSL认证等等一系列的认证方式
本地认证常用的就是用户名和密码,用户名加口令,网络认证,支持第三方认证、PKI认证、远程认证等
访问控制机制,可以对用户的一些操作,比如说增删改查进行不同的策略控制,比如说你只能查,不能增加或者修改数据库的数据,这就是访问控制机制
保险库是oracle自身一个比较特别独有的机制,它主要是用来保护敏感的数据,具有防止数据库系统未授权变更、多因素可信授权、职责隔离、最小化特权等等一系列的功能
保险库主要是保护敏感数据,比如家里面如果有保险库,里面一般存放现金、金条等等,都是一些比较敏感、贵重的东西
安全审计和数据库防火墙的功能,其实常规的数据库防火墙都带这样的功能
高级安全功能,oracle数据库提供透明数据加密,数据屏蔽机制,以保证数据的安全
Oracle安全最佳实践
第一个增强oracle数据库服务器的操作系统安全,数据库本身就是一个软件,软件是安装在操作系统上的,操作系统挂了,数据库就运行不起来了,所以底层操作系统要保证数据库的安全,最小化系统服务,安装补丁,关闭不必要的一些通信端口等等
第二个最小化安装oracle,删除不必要的组件,oracle其实自身带了很多组件,不必要的,你把它删除掉
第三个安装最新的补丁
第四个删除或者修改默认的用户名密码
第五个启用认证机制
第六个设置好口令密码策略,比如说口令长度至少要八位,必须要有数字、字母、特殊字符等等
设置最小化权限,每个人只给他相应的权限就够了,没有必要给所有人超级管理员的权限
第八个限制连接oracle的IP地址,比如说192.168.1.1的IP地址,或者只有网站的地址才能登录数据库,避免攻击者和外网的一些攻击者访问内部的数据库。如果限制了,只有内网的网段能登录数据库,我们的攻击者想攻击要先搞定内网的一台主机,然后以它为跳板去攻击数据库,这是攻击者的攻击思路
第九个传输加密,传输加密分成两部分,第一个是我们用户去登录数据库传输一些控制的命令,需要加密,第二个就是数据库传的一些数据传到外部应用程序,可以通过SSL去加密。
第十个启用oracle审计,记录事后追责
第十一个定期查看oracle发布的漏洞,发布的信息,及时修补数据库。
实施oracle灾备计划,这偏向于管理要做容灾备份,定期备份一些比较重要的数据。即使被攻破了,通过备份数据去做恢复
MS SQL数据库安全分析与防护
用户身份认证,微软的数据库支持WINDOWS认证和混合认证,WINDOWS认证是默认的认证方式
访问控制,采用基于角色的访问控制机制,这个要记住基于角色的访问控制机制,SQL Server的角色分成三种类型:即固定服务器角色、固定数据库角色和应用角色。
第三个数据库加密,SQL Server保密提供了几种加密机制,第一个是Transact-SQL函数,非对称密钥、对称密钥、证书、透明数据加密等等这几种机制,透明加密使用不同密钥对不同敏感数据进行加密处理,其中,密钥类型有服务组密钥、数据库主密钥、数据库密钥,数据库的加密密钥叫数据库密钥,加密的过程有点复杂,这三个密钥加密过程就下面这张图
备份恢复机制SQL server数据库支持静态备份和动态备份。其中静态备份是对数据库进行停机,然后把里面的数据进行备份。动态备份是不停机备份数据库,在运行过程中进行备份。有四种备份方案,文件和文件组备份、事务日志备份、完全备份和差异备份。文件和文件组备份就是对数据库文件进行备份,因为数据库生成的表单最后有点像excel文件,我们对相应的文件和文件组进行备份
事物日志备份,事物是对我们每一次具体的操作来进行备份。
完全备份就是每一天,比如说星期天,它的数据是这么多,然后星期一数据还是这么多,每一天的数据在增长,每一次我们都进行全量备份,也叫完全备份。还有一个差异备份,我先设置一个基点,然后每天对这个基点上新增的数据进行备份,这叫差量备份。其实还有一种备份叫增量备份,就是每天我只备份增加的那一点,这几种备份数据量最大的肯定是完全备份,数据量最小的是增量备份。恢复速度最快的是完全备份,恢复速度最慢的是增量备份。
恢复的机制有三种模型,简单恢复、完全恢复、批量日志恢复。SQL Server系统可运用Transact-SQL语句或企业管理器实现数据恢复或者备份操作
第五个安全审计所有的数据库都有这样的功能,不仅数据库,我们的网络设备、操作系统都有审计功能,这是SQL server数据库的安全机制。
MS SQL Server安全最佳实践
第一个设置密码策略
第二个加强扩展存储过程管理,删除不必要的一些存储过程。
第三个传输安全
第四个修改标准的一些端口号,比如说server标准端口号是1433,容易被攻击,我们可以把它修改成1450、1480都行,反正不要是1433
第五个对连接的IP进行限制
第六个日志审计
第七个定期查看MS SQL Server漏洞发布的一些信息,及时修补漏洞,打补丁。
第八个保证操作系统安全
第九个进行MS SQL Server安全检测,制定安全容灾备份计划
MySQL数据库安全分析与防护
身份认证机制、访问控制、安全审计
MySQL安全最佳实践
安装的时候要启动独立的用户组安装最新的软件包
建立MySQL Chrooting运行环境。关闭一些远程链接,禁止导入本地的一些文件,修改超级管理员的用户名密码,删除一些不必要的系统自带的一些文件和用户,修改root的用户名,包括密码的强度要够
安全备份,本质上都是一样的
国产数据库的安全分析与防护
国产数据库是指国家自主研发,数据库系统具有较强的可控性和安全性,围绕数据库安全,我国制定了国家标准《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2019),它把数据库系统分成了五个安全等级
国产数据库安全分析,国产数据库安全漏洞,它毕竟是个软件,软件就可能有漏洞
第二个国产数据,数据库依赖于第三方的组件安全,比如说他会用SSL协议,这个SSL协议有漏洞,也可能会造成国产数据库的安全威胁
第三个国产数据库系统安全配置安全,就你对一些配置不当,比如说使用弱口令密码搞个123456肯定不安全
第六个国产数据库支持平台的安全,数据库不是凭空运行的,底层要有操作系统。
