欧美日操-欧美日韩91-欧美日韩99-欧美日韩ay在线观看-xxxx色-xxxx视频在线

兩位一體:論信息化中的應(yīng)用安全和數(shù)據(jù)庫安全

2013-12-09 10:00:28 北極星電力網(wǎng)  點(diǎn)擊量: 評(píng)論 (0)
應(yīng)用安全和數(shù)據(jù)庫的安全就像是拼圖中的拼圖塊,它們雖然不同,卻彼此之間需要對(duì)方,缺少任何一個(gè),都不能形成一個(gè)安全整體。如果其中一方出現(xiàn)安全隱患就會(huì)令整個(gè)安全防御徹底失效,如WEB應(yīng)用程序存在SQL注入的
        應(yīng)用安全和數(shù)據(jù)庫的安全就像是拼圖中的拼圖塊,它們雖然不同,卻彼此之間需要對(duì)方,缺少任何一個(gè),都不能形成一個(gè)安全整體。如果其中一方出現(xiàn)安全隱患就會(huì)令整個(gè)安全防御徹底失效,如WEB應(yīng)用程序存在SQL注入的時(shí)候,就會(huì)對(duì)整個(gè)系統(tǒng)和數(shù)據(jù)庫產(chǎn)生更大的影響。為了減小攻擊范圍,開發(fā)人員和數(shù)據(jù)庫管理員必須明晰他們?cè)谶@個(gè)過程中的角色,共同工作,以避免WEB應(yīng)用暴露任何敏感數(shù)據(jù)庫。

       如今,許多行業(yè)用戶將大量有價(jià)值的客戶數(shù)據(jù)存儲(chǔ)于在線數(shù)據(jù)庫,通過網(wǎng)絡(luò)應(yīng)用與外界交互。不論是通信、金融、電子政務(wù)、電子商務(wù)抑或是小小的個(gè)人博客,前端應(yīng)用程序和后臺(tái)數(shù)據(jù)庫都不可避免地結(jié)合在我們現(xiàn)在的模型中,任何一個(gè)都不可離開另一個(gè)而單獨(dú)存在。

       但是由于那些應(yīng)用程序在設(shè)計(jì)時(shí)是允許任何人、從任何地方登陸進(jìn)入訪問,因而也成為了通往隱藏在深處的重要數(shù)據(jù)的橋梁。比如在去年十二月,國(guó)內(nèi)最大的程序員社區(qū)網(wǎng)站CSDN就遭到了黑客從WEB應(yīng)用層的攻擊,使得包含用戶密碼的數(shù)據(jù)庫泄密。

       那么如何才能使這個(gè)模型更安全呢?安恒信息專家將為您做詳細(xì)的解讀:使模型更安全的解決方法是讓應(yīng)用程序作為人與數(shù)據(jù)互動(dòng)的唯一接口,應(yīng)用程序界面是機(jī)器與數(shù)據(jù)互動(dòng)的唯一接口。如果不是這樣,那么數(shù)據(jù)交互就有可能不能被充分控制好,這將會(huì)是一個(gè)非常基本的潛在漏洞。即使訪問方式定義明確,實(shí)際上應(yīng)用程序依然有無數(shù)種方式令防護(hù)數(shù)據(jù)庫失敗,最終導(dǎo)致整個(gè)系統(tǒng)被黑客竊取或破壞。

       安恒信息專家表示,安全管理人員和開發(fā)人員經(jīng)常忽視或者錯(cuò)誤地理解數(shù)據(jù)庫,常僅僅關(guān)注于保護(hù)網(wǎng)絡(luò)應(yīng)用程序不受風(fēng)險(xiǎn)的威脅--比如說跨站腳本攻擊或者注入攻擊,而忘記了留意數(shù)據(jù)庫本身的安全隱患。很明顯,用戶需要有專門的工具和策略來幫助網(wǎng)絡(luò)應(yīng)用程序開發(fā)人員保護(hù)后臺(tái)數(shù)據(jù)庫的安全性,而數(shù)據(jù)庫開發(fā)人員必須確保他們的網(wǎng)絡(luò)接口盡可能地安全。

        同時(shí)安恒信息專家還指出,現(xiàn)在大多數(shù)用戶都是憑感覺在運(yùn)行數(shù)據(jù)庫安全。絕大多數(shù)用戶根本沒有監(jiān)控他們的數(shù)據(jù)庫。更令人不安的是,大多數(shù)用戶甚至不知道他們的重要數(shù)據(jù)的位置,很多管理員在調(diào)查中承認(rèn)他們并不能肯定數(shù)據(jù)庫中包含著重要信息。

       在多數(shù)情況下,關(guān)鍵點(diǎn)在于網(wǎng)絡(luò)應(yīng)用程序本身對(duì)于攻擊者而言沒什么價(jià)值,他們只是利用應(yīng)用程序作為竊取或破壞數(shù)據(jù)的一種手段,第一個(gè)防范措施便是確保不僅僅是數(shù)據(jù)庫管理員了解重要數(shù)據(jù)在哪里存放、如何訪問到,以及面臨的實(shí)際威脅。我們通常將數(shù)據(jù)庫看作是一個(gè)黑盒子,只向需要的人和應(yīng)用程序提供訪問的方法,當(dāng)選取、更新或者插入操作成功后,人們會(huì)忘記還有一些事情會(huì)發(fā)生,所以說團(tuán)隊(duì)合作是關(guān)鍵,必須要把應(yīng)用安全和數(shù)據(jù)安全做到兩位一體。

       我們所面臨的網(wǎng)絡(luò)威脅

       數(shù)據(jù)庫除了有與生俱來的安全隱患以外,當(dāng)應(yīng)用程序訪問數(shù)據(jù)庫時(shí),還要考慮到更多的威脅。數(shù)據(jù)庫打補(bǔ)丁、權(quán)限管理和連接管理都是典型的數(shù)據(jù)庫安全防范措施,常見的由網(wǎng)絡(luò)應(yīng)用程序引發(fā)的安全威脅有SQL注入式攻擊,XSS跨站攻擊、不安全的會(huì)話處理和權(quán)限升級(jí)、目錄遍歷漏洞和敏感信息泄露等漏洞。我們會(huì)深入挖掘每一種模型,但是考慮到這些風(fēng)險(xiǎn)的存在,我們最重要的是盡可能少的給予特權(quán),通過監(jiān)控輸入數(shù)據(jù)和建立安全連接來加強(qiáng)讀取方式的安全性,同時(shí)還要限制數(shù)據(jù)庫服務(wù)器對(duì)外暴露的機(jī)率。SQL注入、跨站腳本漏洞、目錄遍歷漏洞、敏感信息泄露等漏洞

       SQL注入攻擊SQL注入漏洞的產(chǎn)生原因是網(wǎng)站程序在編寫時(shí),沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,導(dǎo)致應(yīng)用程序存在安全隱患。SQL注入漏洞攻擊的就是利用現(xiàn)有應(yīng)用程序沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,將惡意的SQL命令注入到后臺(tái)數(shù)據(jù)庫引擎執(zhí)行的黑客攻擊手段。

        XSS跨站攻擊跨站腳本攻擊簡(jiǎn)稱為XSS又叫CSS (Cross Site Script Execution),是指服務(wù)器端的CGI程序沒有對(duì)用戶提交的變量中的HTML代碼進(jìn)行有效的過濾或轉(zhuǎn)換,允許攻擊者往WEB頁面里插入對(duì)終端用戶造成影響或損失的HTML代碼。

        未驗(yàn)證輸入web請(qǐng)求信息在被Web應(yīng)用使用之前都是未驗(yàn)證的,攻擊者能夠利用其中的弱點(diǎn)攻擊服務(wù)器;攻擊者通過偽造HTTP請(qǐng)求的各個(gè)部分,例如URL,查詢字符串,頭,cookies,表單域,隱藏域等繞過站點(diǎn)的安全機(jī)制。這些常見的偽造輸入攻擊通常包括:強(qiáng)制瀏覽,命令插入,跨站腳本,緩沖區(qū)溢出,格式化字符串,SQL注入,cookie中毒,隱藏域操作等等。

        網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚是通過大量發(fā)送聲稱來自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息(如用戶名、口令、帳號(hào) ID 、 ATM PIN 碼或信用卡詳細(xì)信息)的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚攻擊將收信人引誘到一個(gè)通過精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上,并獲取收信人在此網(wǎng)站上輸入的個(gè)人敏感信息,通常這個(gè)攻擊過程不會(huì)讓受害者警覺。這些個(gè)人信息對(duì)黑客們具有非常大的吸引力,因?yàn)檫@些信息使得他們可以假冒受害者進(jìn)行欺詐性金融交易,從而獲得經(jīng)濟(jì)利益。受害者經(jīng)常遭受顯著的經(jīng)濟(jì)損失或全部個(gè)人信息被竊取并用于犯罪的目的。

      通過應(yīng)用程序造成隱私泄漏個(gè)人或團(tuán)體的信息被其他不應(yīng)獲得者獲取。如攻擊者通過入侵大型網(wǎng)絡(luò)社區(qū)、交友網(wǎng)站、免費(fèi)郵箱等網(wǎng)絡(luò)應(yīng)用程序獲取數(shù)據(jù)庫用戶信息,并利用獲取到的個(gè)人用戶信息進(jìn)行欺騙獲取更多的利益。

        我們需要共同協(xié)作

       安全問題不是某個(gè)個(gè)人的職責(zé),關(guān)鍵需要團(tuán)隊(duì)的協(xié)作。這對(duì)于應(yīng)用程序的安全問題來說更是如此,信息安全人員、開發(fā)人員、系統(tǒng)和數(shù)據(jù)庫管理員都包括在內(nèi),這就是團(tuán)隊(duì)協(xié)作。除非你所在的單位已經(jīng)擁有了一個(gè)成熟的安全環(huán)境,而且已經(jīng)使用安全類庫來處理數(shù)據(jù)庫調(diào)用和數(shù)據(jù)驗(yàn)證,在數(shù)據(jù)庫和應(yīng)用程序之間有一層數(shù)據(jù)訪問層,并確保所有的數(shù)據(jù)庫權(quán)限都受到了嚴(yán)格的限制,在這種情況下應(yīng)當(dāng)讓所有團(tuán)隊(duì)成員參與并且了解高層次的應(yīng)用程序。通過共同協(xié)作,所有人都可以了解到這些安全威脅,隨后可以共同想出更好的解決方案來應(yīng)對(duì)。所有參與網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫開發(fā)維護(hù)管理的人員都應(yīng)該對(duì)目前存在的安全威脅有一個(gè)充分的認(rèn)識(shí)和理解,這是非常重要的。我們必須要確保所有人員都理解應(yīng)用程序的所有技術(shù)通信原理和數(shù)據(jù)流,了解數(shù)據(jù)從哪里來,如何到那里去的,以及數(shù)據(jù)是否和多個(gè)應(yīng)用程序進(jìn)行通信。這就是關(guān)于數(shù)據(jù)庫保護(hù)的第一層措施。

        數(shù)據(jù)庫保護(hù)的第二層措施是安全架構(gòu)。安全設(shè)計(jì)的基礎(chǔ)有時(shí)候也被稱作為安全架構(gòu),也就是說當(dāng)我們以安全的方式設(shè)計(jì)數(shù)據(jù)庫環(huán)境時(shí),應(yīng)減少安全威脅。如果攻擊者無法直接訪問數(shù)據(jù)庫,這樣就降低了他們攻擊的靈活性。我們?yōu)楣粽咛峁┑幕顒?dòng)空間越大,他們就越容易得手。同樣的,從相反的角度來看,我們就需要在后續(xù)做更多的工作,也就是說你必須確保對(duì)數(shù)據(jù)庫的訪問僅限于在需要的情況下進(jìn)行系統(tǒng)訪問,而且所有的訪問都經(jīng)過認(rèn)證和加密的,而且不能影響到會(huì)話池。保證網(wǎng)絡(luò)和系統(tǒng)設(shè)計(jì)的安全將會(huì)對(duì)保護(hù)數(shù)據(jù)庫大有幫助,添加了數(shù)據(jù)庫訪問路徑的限制能夠大大地降低風(fēng)險(xiǎn)。

       數(shù)據(jù)庫保護(hù)的第三層措施是威脅建模。確定威脅的過程被稱為是威脅建模,過去威脅建模是用在應(yīng)用程序安全方面,用于確定應(yīng)用程序的最高風(fēng)險(xiǎn),這樣安全人員就可以重點(diǎn)關(guān)注在這一領(lǐng)域。這個(gè)概念開始延用到安全的其它領(lǐng)域中。應(yīng)注意的是這不是一個(gè)新的理念,實(shí)際上保險(xiǎn)行業(yè)已經(jīng)采用此理念有數(shù)百年的歷史了,我們互聯(lián)網(wǎng)行業(yè)只是最近幾年才吸納這一理念,并開始就此主題發(fā)表了許多文章。

       威脅建模包括將那些了解此應(yīng)用程序的人以及相關(guān)領(lǐng)域的專家召集在一起,大家共同理解應(yīng)用程序的不同部分、功能性和固有的威脅。花一定的時(shí)間來全面理解此應(yīng)用程序以及相關(guān)的威脅,可以定制出相對(duì)應(yīng)的保護(hù)和測(cè)試方案,可以節(jié)省時(shí)間或者在有限的時(shí)間和預(yù)算范圍內(nèi)最大程度地降低威脅。威脅建模對(duì)于安全人員來說可以提供一種很好的手段來掌握全局、分解風(fēng)險(xiǎn)區(qū)域并與各小組單獨(dú)協(xié)作,確保保護(hù)措施落到實(shí)處。

在對(duì)多個(gè)應(yīng)用程序或開發(fā)項(xiàng)目進(jìn)行威脅建模時(shí),應(yīng)作好記錄,

大云網(wǎng)官方微信售電那點(diǎn)事兒

責(zé)任編輯:黎陽錦

免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
?
主站蜘蛛池模板: 性的小视频在线观看免费| 亚洲一区二区三区高清 不卡| 亚洲欧美综合区自拍另类| 五月激情婷婷网| 日韩精品免费一区二区三区| 亚洲日韩中文字幕一区| 欧美一级做| 香蕉97碰碰视频免费| 亚洲综合区小说区激情区噜噜| 视频毛片| 亚洲福利一区二区| 天天艹综合| 欧美性淫爽www视频播放| 亚洲天堂色网站| 亚洲 欧美 日韩在线一区| 欧美日韩国产一区二区三区不卡| 视频在线观看一区| 午夜国产福利在线| 欧美一区二区三区高清视频| 亚洲精品美女在线观看播放| 四虎国产精品永久地址99| 亚洲乱搞| 日韩精品成人免费观看| 日韩在线中文| 日本中文字幕在线视频| 日本三级香港三级妇三| 欧美一级特黄视频| 日韩欧美在线综合| 性视频一区| 亚洲欧美日韩精品在线| 日本成a人伦片| 日韩欧美亚州| 日本三级2021| 五月天婷婷激情视频| 亚洲欧美日韩高清中文在线| 亚洲国产精品福利片在线观看| 欧美一级网址| 亚洲最大中文字幕| 亚洲欧美国产日产综合不卡| 欧美亚洲国产成人不卡| 欧美污网站|