在安全問題上 數(shù)據(jù)庫與操作系統(tǒng)攜手并進(jìn)

責(zé)任編輯:editor008

2014-04-03 09:04:02

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

在大數(shù)據(jù)時(shí)代下,數(shù)據(jù)庫的應(yīng)用已經(jīng)深入到各個(gè)領(lǐng)域,對于企業(yè)而言,數(shù)據(jù)庫已經(jīng)成為企業(yè)業(yè)務(wù)展開的重要?jiǎng)恿?,在大多?shù)平臺(tái)上,數(shù)據(jù)庫安全與操作系統(tǒng)安全攜手并進(jìn)。

《企業(yè)網(wǎng)D1Net》4月3日訊

在大數(shù)據(jù)時(shí)代下,數(shù)據(jù)庫的應(yīng)用已經(jīng)深入到各個(gè)領(lǐng)域,對于企業(yè)而言,數(shù)據(jù)庫已經(jīng)成為企業(yè)業(yè)務(wù)展開的重要?jiǎng)恿?,在大多?shù)平臺(tái)上,數(shù)據(jù)庫安全與操作系統(tǒng)安全攜手并進(jìn)。

網(wǎng)絡(luò)配置設(shè)置,文件系統(tǒng)權(quán)限,認(rèn)證機(jī)制和操作系統(tǒng)的加密功能都可以在確保數(shù)據(jù)庫保持安全中起到一定的 作用。例如,在基于Windows的操作系統(tǒng),只有NTFS文件系統(tǒng)提供了各級別的文件系統(tǒng)安全(FAT和FAT32分區(qū)不提供任何文件系統(tǒng)安全功能)。 在使用集中目錄服務(wù)基礎(chǔ)架構(gòu)環(huán)境中,系統(tǒng)管理員保持及時(shí)的權(quán)限設(shè)置,并確保盡快停用不必要的帳戶是非常重要的。幸運(yùn)的是,許多現(xiàn)代關(guān)系型數(shù)據(jù)庫平臺(tái),可以 利用它們運(yùn)行在操作系統(tǒng)上的優(yōu)勢。以下我們將更詳細(xì)討論。

大多數(shù)數(shù)據(jù)庫系統(tǒng)都要求用戶輸入一些驗(yàn)證信息才可以訪問數(shù)據(jù)庫。數(shù)據(jù)庫安全的第一個(gè)層級可以基于一個(gè)標(biāo)準(zhǔn)的用戶名和密碼組合?;蛘撸蕴岣呖晒芾硇院蛦吸c(diǎn) 登錄為目的,數(shù)據(jù)庫系統(tǒng)可以與企業(yè)現(xiàn)有認(rèn)證系統(tǒng)集成。例如,微軟的Windows操作系統(tǒng)平臺(tái)上運(yùn)行許多關(guān)系數(shù)據(jù)庫產(chǎn)品可以利用一個(gè)基于域的安全模型的安 全功能。根據(jù)個(gè)人的用戶帳戶和組成員,他或她可以進(jìn)行無縫的“通過驗(yàn)證” ,不需要重新鍵入用戶名或密碼。其中這種方法眾多好處之一是可以集中管理用戶帳戶的能力。當(dāng)一個(gè)用戶帳戶是在組織的目錄服務(wù)的級別被禁用,則不需要采用進(jìn) 一步的步驟防止用戶訪問數(shù)據(jù)庫系統(tǒng)。此外,組織越來越多地轉(zhuǎn)向基于生物特征的身份驗(yàn)證(通過使用指紋識別,視網(wǎng)膜掃描,以及相關(guān)驗(yàn)證方法),以及智能卡和 基于令牌的認(rèn)證。數(shù)據(jù)庫管理員可以利用這些機(jī)制所依托的操作系統(tǒng),用于識別用戶。因此,集成安全是強(qiáng)烈推薦的,無論從易用性還是易于管理性而言。

值得注意的是:實(shí)施一個(gè)新數(shù)據(jù)庫的重要組成部分是在安裝過程中或安裝后立即更改默認(rèn)密碼(和帳戶名,如果可能的話)。許多數(shù)據(jù)庫管理員決定,他們將“稍后 完成這個(gè)任務(wù)”,但是這通常意味著它將被忽視。使用默認(rèn)的用戶名和密碼相當(dāng)于給予了惡意用戶入侵服務(wù)器的利刃。當(dāng)你一旦安裝新的服務(wù)器,就請務(wù)必花幾分鐘 來關(guān)閉這個(gè)潛在漏洞。

服務(wù)器登錄可以直接被授予權(quán)限。例如,用戶可以被給予關(guān)閉或重啟數(shù)據(jù)庫或在服務(wù)器上創(chuàng)建一個(gè)新的數(shù)據(jù)庫能力的權(quán)限。登入級權(quán)限一般適用于服務(wù)器作為一個(gè)整 體,可以用來進(jìn)行相關(guān)的備份和恢復(fù),性能監(jiān)控,以及數(shù)據(jù)庫的創(chuàng)建和刪除任務(wù)。在某些情況下,用戶與服務(wù)器的登錄權(quán)限可能能夠授予這些權(quán)限給其他用戶。因 此,充分了解你所依靠的數(shù)據(jù)庫平臺(tái)的安全體系結(jié)構(gòu),對保證你的信息安全是非常重要的。

要記住另一個(gè)重要的考慮是,大多數(shù)關(guān)系型數(shù)據(jù)庫平臺(tái)允許操作系統(tǒng)管理員具有對數(shù)據(jù)庫的許多隱性權(quán)限。例如,系統(tǒng)管理員可以啟動(dòng)和停止服務(wù),并可以移動(dòng)或刪 除數(shù)據(jù)庫文件。此外,一些數(shù)據(jù)庫平臺(tái)自動(dòng)授予系統(tǒng)管理員數(shù)據(jù)庫的登錄并允許全部權(quán)限。雖然某些情況下這可能是可取的,但要執(zhí)行總體安全時(shí)必須牢記這點(diǎn)。在 某些情況下,這一點(diǎn)很重要,并不是所有的系統(tǒng)管理員有權(quán)限訪問存儲(chǔ)在這些服務(wù)器上的敏感數(shù)據(jù)。以這種方式配置系統(tǒng)將是一個(gè)挑戰(zhàn),而實(shí)施的具體方法會(huì)根據(jù)正 在運(yùn)行操作系統(tǒng)和數(shù)據(jù)庫平臺(tái)。

大多數(shù)情況下,一臺(tái)服務(wù)器的登錄只允許一個(gè)用戶連接到數(shù)據(jù)庫。它不會(huì)隱性允許用戶執(zhí)行數(shù)據(jù)庫內(nèi)的任何特定的動(dòng)作。

D1Net評論:

對于企業(yè)數(shù)據(jù)庫而言,操作系統(tǒng)安全關(guān)系到數(shù)據(jù)庫的安全,因此,企業(yè)在應(yīng)用數(shù)據(jù)庫的過程中,首先要保證操作系統(tǒng)的安全,這樣才能使數(shù)據(jù)庫健康運(yùn)行,從而為企業(yè)發(fā)展提供源源不斷動(dòng)力。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號