数据安全学习笔记——数据库体系安全

数据安全学习笔记——数据库体系安全

一、数据库安全机制与实现技术
**
**
（一）概况
数据库安全是指数据库的机密性、完备性、 可用性能够得到保障。
主要涉及数据库管理安全、数据安全、数据库应用安全以及数据库运行安全。
**国外数据库体系：**MS SQL Server、MySQL、Oracle、DB2等
**国产数据库体系：**人大金仓、达梦等。
（二）数据库安全威胁

（三）数据库安全隐患
1.数据库用户账号和暗码隐患
2.数据库体系扩展存储过程隐患(缓存/索引等)
3.数据库体系软件和应用程序毛病
4.数据库体系权限分配隐患
5.数据库体系用户安全意识薄弱
6.网络通信内容是明文转达
7.数据库体系安全机制不健全
（四）数据库安全机制及功能

数据库加密方式主要分为两种范例：
1.数据库网上传输的数据，通常利用SSL协议来实现
2.数据库存储的数据，通过数据库存储加密来实现
按照加密组件与数据库管理体系的关系，
数据库存储加密可以分成两种加密方式
库内加密：指在DBMS内部实现支持加密的模块
库外加密：库外加密指在DBMS范围之外，由专门的加密部件完成加密/解密操纵.

数据库存储加密的常用技术方法：
基于文件的数据库加密技术。基于文件的数据库加密技术将数据库文件作为整体，对整个数据库文件进行加密，形成密文来包管数据的机密性。
基于记录的数据库加密技术（行）。基于记录的数据库加密技术将数据库的每一个记录加密成密文并存放于数据库文件中。
基于字段的数据库加密技术（列）。基于字段的数据库加密技术加密数据库的字段，以不同记录的不同字段为基本加密单元进行加密。
数据库防火墙
**数据库防火墙：**根据预定义的克制和允许战略让合法的SQL操纵通过，阻断非法违规操纵，形成数据库的外围防御圈，实现SQL伤害操纵的主动预防、及时审计。
**提供虚拟补丁包功能：**数据库体系不消升级、打补丁，即可完成对主要数据库毛病的防控。

数据库防火墙的安全作用主要如下：
屏蔽直接访问数据库的通道。数据库防火墙部署介于数据库服务器和应用服务器之间，屏蔽直接访问的通道，防止潜伏通道对数据库的攻击。
**增强认证。**应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。
**攻击检测。**可及时检测用户对数据库进行的SQL注入和缓冲区溢出攻击，并报警或者制止攻击行为，记录攻击操纵发生的时间，来源IP、登录数据库的用户名、攻击代码等详细信息。
**防止毛病利用。**捕获和阻断数据库毛病攻击行为，如利用SQL注入特征库可以捕获和阻断数据库SQL注入行为。实现虚拟化补丁，掩护有毛病的数据库体系。
**防止内部高危操纵。**可以限定更新和删除影响行、限定无Where的更新和删除操纵、限定drop、truncate等高危操纵制止大规模损失。
**防止敏感数据走漏。**可以限定命据查询和下载数目、限定敏感数据访问的用户、地点和时间。
**数据库安全审计。**对数据库服务器访问情况进行独立审计，审计信息可以包括用户名、程序名、IP地址请求的数据库、连接创建的时间、连接断开的时间、通信量大小、执行结果等信息。
**数据库脱敏：**利用数据脱敏技术将数据进行变换处理，在保持数据按需使用目标的同时，又能制止敏感数据外泄。数据脱敏指按照脱敏规则对敏感数据进行变换，去除标识数据，数据实现匿名化处理，从而实现敏感数据的掩护。常见的数据脱敏技术方法有屏蔽、变形、替换随机、加密，使得敏感数据给非授权用户或体系，比如：

**数据库毛病扫描：**模拟黑客使用的毛病发现技术，对目标数据库的安全性尝试进行安全探测分析，收集数据库毛病的详细信息，分析数据库体系的不安全设置，检查有弱口令的数据库用户。通过数据库毛病扫描，跟踪监控数据库安全伤害状态变化，创建数据库安全基线，防止数据库安全伤害恶化。
数据库毛病扫描的贸易产物有NGSS Quirrel for Oracle，xSecure-DBScan等。NGSS Quirrel for Oracle可以检查几千个大概存在的安全威胁、补丁状况、对象和权限信息登录和暗码机制、存储过程以及启动过程。NGSS Quirrel提供强大的暗码审计功能，包括字典和暴力破解模式。
二、主流数据库安全分析与防护
**
**
**（一）Oracle
**

保险库是Oracle独有的技术。
Oracle安全最佳实践
1.增强Oracle数据库服务器的操纵体系安全。最小化体系服务，安装最新补丁，关闭不需要的网络通信端口。
2.最小化安装Oracle，删除不必要的组件。
3.安装最新的安全补丁。
4.删除或修改默认的用户名和暗码。
5.启用认证机制。
6.设置好的口令暗码战略。
7.设置最小化权限。
8.限定连接Oracle的IP地址。在打补丁的同时限定连接的IP，制止攻击者的IP访问到数据库。
9.传输加密。Oracle采用的是TNS协议传输数据，在传输过程中不能包管其中的数据不被窃听乃至修改，因此最好对传输进行加密。比方，采用SSL加密机制。
10.启用Oracle审计。记录全部的用户失败访问和分析安全事件日记。
11.定期检察Oracle毛病发布信息，及时修补毛病。
12.实施Oracle灾备计划。监测Oracle的安全运行，定期进行备份。针对大概安全事件，订定安全应急预案。
（二）MS SQL Server
MS SQL Server安全机制主要包括
**1.用户身份认证。**支持Windows认证和混合认证两种方式。Windows认证是默认认证方式
**2.访问控制。**采用基于脚色的访问控制机制。SQLServer的脚色分为三种范例：即固定服务器脚色、固定命据库脚色和应用脚色。
**3.数据库加密。**SQL保密Server提供Transact-SQL函数、非对称密钥、对称密钥、证书、透明数据加密机制。MS SQL Server 2008提供透明数据库加密服务。透明加密使用不同密钥对不同敏感数据进行加密处理，其中密钥范例有服务主密钥、数据库主密钥、数据库密钥
**4.备份规复机制。**支持静态备份（停机备份）和动态备份（不绝机备份）。有四种备份方案：文件和文件组备份、事件日记备份、完全备份、差异备份。规复机制有三种模型：简单规复、完全规复和批量日记记录规复。SQLServer体系可运用。Transact-SQL语句或企业管理器实现数据的规复或备份操纵。
5.安全审计。

SQL Server安全最佳实践
1.设置好的数据库暗码安全战略
2**.加强扩展存储过程管理**，删除不必要的存储过程。SQL Server的体系存储过程容易被利用来提拔权限或进行粉碎。为掩护SQL Server的安全，删除不必要的存储过程
3.网上数据加密传输。SQLServer使用的TabularDataStream协议用明文传输数据，容易导致数据库敏感数据网上走漏，建议使用SSL协议。
4**.修改数据库默认的TCP/IP端口号**。更改SQLServer原默认的1433端口
5.**对SQL数据库访问的网络连接进行IP限定。**通过防火墙或Windows操纵体系的安全功能对SOL数据库IP连接进行限定，只包管授权的IP能够访问，降低数据库的网络安全威胁来源。
6.启用SQLServer日记审计，记录全部的用户访问和分析安全事件日记。
7.定期检察MSSQLServer毛病发布信息，及时修补毛病
8.包管MSSQLSenver的操纵体系安全。
19.MSSQLServer安全检测，订定安全容备份计划
（三）MySql
MySQL安全分析：MySQL提供的安全机制主要包括如下内容
**用户身份认证。**MySQL支持用户名/口令认证方式。
**访问授权。**MySQL具有5个授权表：user、db、host、tables_priv和columns-priv。通过授权表，MySQL提供非常机动的安全机制。MySQL具有grant和revoke命令，可以用来创建和删除用户权限，便于分配用户权限。MySQL管理员可以用grant和revoke来创建用户、授权和撤权、删除用户。
**安全审计。**MySQL内置了审计机制，可以记录MySQL的运行状况。
SQL Server安全最佳实践。
**1.MySQL安装。**创建单独启动的用户和组。安装最新的软件包，选择合适的静态参数编译数据库2.创建MySQLChrooting运行情况。形成“沙箱”掩护机制，增强体系抗渗透能力。
**3.关闭MySQL的远程连接。**关闭MySQL的默认监听端口3306，制止增长MySQL的远程攻击风险4.克制MySQL导入当地文件。克制MySQL中用“LOADDATALOCALINFILE命令。
5.修改MySQL的root用户ID和暗码
6.删除MySQL的默认用户和db。删除MySQL的默认数据库test。除了root用户外，其他的用户都去掉
7.更改MySQL的root用户名，防止口令暴力破解
**8.创建应用程序独立使用数据库和用户账号。**要求这些账号只能访问应用程序用到的数据库
**9.安全监测。**安全监控MySQL数据库运行，及时修补MySQL数据库毛病
**10.安全备份。**定期备份MySQL数据库体系及数据
（四）国产数据库安全分析
国产数据库是指由国家自主研发力量研制的数据库体系，具有较强的可控性和安全性，围绕数据库安全，我国订定了国家标准《信息安全技术数据库管理体系安全技术要求》（GB/T20273-2019）该标准规定了数据库管理体系的五个安全品级及其所需要的安全技术要求
国产数据库安全分析：
1.国产数据库安全毛病。
2.国产数据库依赖第三方体系组件的安全比方OpenSSL协议安全毛病，对国产数据库网络传输数据有安全影响
3.国产数据库体系设置的安全。对国产数据库体系的安全敏感设置不妥，构成体系安全威胁。常见的安全设置不妥包括未启用国产数据库安全功能、设置数据库弱口令、开放过多的服务端口、使用非安全远程登录工具等。
4.国产数据库支持平台的安全。国产数据库受制于操纵体系而产生的安全题目。比方，操纵体系的安全题目导致数据库文件被窃取或粉碎，乃至失去控制。
国产数据库安全增强措施
1.国产数据库安全毛病发掘及扫描
2.国产数据库加密
3.选择安全性能高的国产数据库
，

1.                **学习网络安全技术的方法无非三种:**

复制代码

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操纵体系原理、数据库体系、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。
第二种是自学，就是在网上找资源、找教程，或者是想办法熟悉一-些大佬，抱紧大腿，不外这种方法很耗时间，而且学习没有规划，大概很长一段时间感觉自己没有进步，容易劝退。
如果你对网络安全入门感爱好，那么你需要的话可以点击这里