周尚彩

數(shù)據(jù)庫(kù)屬于企業(yè)中核心的一部分，整個(gè)公司的業(yè)務(wù)可能都會(huì)存在于數(shù)據(jù)庫(kù)中，數(shù)據(jù)庫(kù)也成為對(duì)手或者黑客的重點(diǎn)攻擊目標(biāo)。因此，掌握黑客的入侵途徑，從而加強(qiáng)防護(hù)，以做到“防患于未然”變得尤為重要。做好下面十項(xiàng)安全隱患防御，可將黑客阻擋在家門(mén)之外，維護(hù)好數(shù)據(jù)核心安全。

1. SQL的錯(cuò)誤誘導(dǎo)語(yǔ)句

一段錯(cuò)誤的誘導(dǎo)性SQL執(zhí)行語(yǔ)句，可能會(huì)使應(yīng)用的服務(wù)器執(zhí)行命令，從而破壞數(shù)據(jù)庫(kù)安全。鑒于這一問(wèn)題，最好的辦法就是使用防火墻保護(hù)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)，防止被侵入。

2.密鑰管理不當(dāng)

密鑰是一個(gè)系統(tǒng)的鑰匙，安全等級(jí)為重中之重，加密密鑰一般都是存儲(chǔ)在公司的磁盤(pán)驅(qū)動(dòng)器上，當(dāng)密鑰丟失時(shí)，公司系統(tǒng)就會(huì)遭受黑客攻擊。

3.企業(yè)的數(shù)據(jù)庫(kù)遭到盜竊

企業(yè)的數(shù)據(jù)庫(kù)通常會(huì)遭受到兩方面的威脅，一是來(lái)自于外部正大光明的攻擊；另一個(gè)是，企業(yè)內(nèi)部出現(xiàn)“內(nèi)鬼”，將自己企業(yè)的數(shù)據(jù)庫(kù)盜竊。而防止數(shù)據(jù)庫(kù)被盜竊，最好的辦法就是對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密，嚴(yán)格性的保密。

4.管理員和普通用戶權(quán)限隔開(kāi)

將管理員和普通用戶的權(quán)限分開(kāi)管理，這樣“內(nèi)鬼”想要盜取數(shù)據(jù)庫(kù)的數(shù)據(jù)就會(huì)面臨更多的難度。如果可以限制用戶賬戶的使用權(quán)限，那么黑客想要控制整個(gè)數(shù)據(jù)庫(kù)就會(huì)有更大的難度。

5.數(shù)據(jù)庫(kù)中的錯(cuò)誤操作行為

漏洞會(huì)經(jīng)常導(dǎo)致數(shù)據(jù)被黑客攻擊或被刪除，因此作為開(kāi)發(fā)人員就得時(shí)刻檢查數(shù)據(jù)庫(kù)所存在的危險(xiǎn)情況。因此，程序員要利用追蹤信息或日志來(lái)查詢和解決問(wèn)題。

6.數(shù)據(jù)意外泄露

因?yàn)閿?shù)據(jù)庫(kù)連接網(wǎng)絡(luò)，黑客攻擊數(shù)據(jù)庫(kù)很多都是通過(guò)網(wǎng)絡(luò)接口進(jìn)入的，因此使用SSL加密方法很有必要。

7.搜索引擎優(yōu)化不能解決一切問(wèn)題

在實(shí)際工作中，很多公司看重的是搜索引擎對(duì)業(yè)務(wù)的提升有很大的促進(jìn)作用。索引可以提高搜索效率，但是也只有對(duì)數(shù)據(jù)庫(kù)進(jìn)行排序的條件下，搜索引擎優(yōu)化（SEO）才能對(duì)其產(chǎn)生作用。這些功能性的測(cè)試可以提高性能，但測(cè)試不能夠預(yù)測(cè)數(shù)據(jù)庫(kù)將會(huì)發(fā)生的一切問(wèn)題。因此，在數(shù)據(jù)庫(kù)配套設(shè)施完全之后，對(duì)數(shù)據(jù)庫(kù)進(jìn)行一個(gè)全面的檢查，找出利弊很有必要。

8.卸載不明應(yīng)用程序

研究表明，在黑客攻擊數(shù)據(jù)的案例中都有一個(gè)共性，那就是數(shù)據(jù)被濫用。比方說(shuō)，黑客可以借助電腦中的其他應(yīng)用控制電腦，從而侵入你的數(shù)據(jù)庫(kù)中。因此，需要將電腦中不必須、不了解的應(yīng)用工具卸載。

9.系統(tǒng)中存在薄弱的地方

黑客在攻擊數(shù)據(jù)庫(kù)系統(tǒng)的過(guò)程中，一般不會(huì)立馬掌控整個(gè)數(shù)據(jù)庫(kù)系統(tǒng)，他們通常會(huì)挑選系統(tǒng)框架中薄弱的地方進(jìn)行突破、攻擊，進(jìn)而獲得對(duì)整個(gè)數(shù)據(jù)庫(kù)系統(tǒng)的掌控。

10.有效的維護(hù)

很多人在上學(xué)的時(shí)候都看到過(guò)課本中說(shuō)2003年，一個(gè)電腦病毒在兩分鐘之內(nèi)迅速侵占了全球90 %的電腦，使全球3.12億的電腦發(fā)生癱瘓。這個(gè)叫做“SQLSlammer”的宏病毒就是通過(guò)SQL Server數(shù)據(jù)庫(kù)存在的漏洞進(jìn)行阻斷服務(wù)攻擊1434端口，并且在內(nèi)存中感染SQL Server，再通過(guò)被感染的SQL Server，造成SQLServer不能正常工作。從本案例中可以看出加強(qiáng)對(duì)數(shù)據(jù)庫(kù)的維護(hù)多么重要。因此，時(shí)刻加強(qiáng)自己公司數(shù)據(jù)的維護(hù)很重要。