【正文】 down on. Users would not be allowed to have a blank password on their own domain account, so why should valuable system resources such as databases be allowed to be left unprotected. For instance, a blank ?SA? password will enable any user with client software (. Microsoft query analyser or enterprise manager to ?manage? the SQL server and databases). With databases being used as the back end to Web applications, the lack of password control can result in a total promise of sensitive information. With system level access to the database it is possible not only to execute queries into the database, create/modify/delete tables etc, but also to execute what are known as Stored Procedures. From： Paul Morrison． Database Security. Sams Publishing,2020 。 摘自 ： 保羅 數(shù)據(jù)庫被用來作為 Web 應用 軟件的 后端，缺乏密碼控制， 將導致 敏感資料 的全盤妥協(xié) 。用戶 在 自己的域 賬 戶 上將不允許有一個空白密碼， 所以 為什么寶貴的系統(tǒng)資源， 例 如數(shù)據(jù)庫容許被毫無保障。 SQL SA 服務(wù)賬戶 將“ SA”作為密碼， 這是很常見的 ， 或 者 更糟糕的 是 一個空白密碼， 這 同樣 很 普遍。就像 操作系統(tǒng)，人們關(guān)注的焦點 是 內(nèi)部數(shù)據(jù)庫的 賬 號安全， 其目的在于管理賬戶 。在此聲明，我已假定 首先 一個密碼 已被設(shè)定 ，雖然這種情況往往并非如此。雖然這些看起來像普通常識， 但是令人驚訝的是， 我們都看到有多少次，常見的 安全 措施 沒有 落實 以至于 造成的安全風 險。在這篇文章我們將集中于特定的 Microsoft SQL 和 Oracle 的安全 問題 ，同樣重要的是緩解這些 問題的 解決方案。 PART 2 這是第二篇文章 ， 審查了數(shù)據(jù)庫的安全。然而，所有這些 確實應 用于數(shù)據(jù)庫， 而且 如果這些基本的 安全 措施 被應用 ，你的數(shù)據(jù)庫 安全屬性 將大大改善。這類似于消除 操作 系統(tǒng) 內(nèi) 不需要的服務(wù) 程序 ，是一種常見的安全實踐。 能夠 使 用 的 另一種簡單的方法，是清除 數(shù)據(jù)庫中不再需要的 所有程序。 在使用您的組織 時 具體的與安全有關(guān)的編碼技術(shù)應加入編 碼標準?？赡艿那闆r下 ， 嚴格 的類型應被設(shè)定 以 控制 具體數(shù)據(jù)（例如， 期望得到 數(shù)值數(shù)據(jù) ，字符串類型數(shù)據(jù)等 ），并 在可能實現(xiàn)的情況下，如果 數(shù)據(jù) 是以字符型 為基礎(chǔ)的 ， 需要禁止特定的非字母數(shù)字字符。 這是 一個 場外話題，但應該被 應 用 的 一些基本步驟的詳細 設(shè)計是有必要的 。特定的數(shù)據(jù)庫命令或 要求，不應該允許通過應用層。如果 是 正常的用戶訪問， 然后啟用這個限制。如果 該軟件以管理者類型權(quán)限訪問數(shù)據(jù) ，然后惡意運行命令也 會是 這一級別 的訪問權(quán)限 ， 此時系統(tǒng) 妥協(xié)是不可避免的。具體的與安全有關(guān)的編碼技術(shù)在使用組織 時 應加入編碼標準。 在座很多朋友 已經(jīng)看到了當訪問網(wǎng)站時通常的錯誤消息框 ，而且往往顯示用戶輸入沒有得到正確處理。 這是 發(fā)現(xiàn)在 Web 應用 軟件 最常見的形式。 SQL 注入是一個容易讓人誤導的術(shù)語 ，因為該概念 也 適用于其他的數(shù)據(jù)庫，包括 Oracle， DB2 和 Sybase系統(tǒng)。 SQL 注入就是 當前 IT 安全業(yè)的一個熱門話題。這就需要更復雜的 后端數(shù)據(jù) 編碼。隨著 Web應用程序 的功能 變得越來越復雜，它帶來 了 應用程序 編 碼 方面的 安全 漏洞的更大的潛在威脅 。 這些工具 的 出現(xiàn)提高了賭注，我們已經(jīng)看到，攻擊 主要是針對 服務(wù)器暴露到互聯(lián)網(wǎng) 的 特定 數(shù)據(jù) 庫端口。數(shù)據(jù)庫安全 方面的焦點正 吸引 著攻擊者的注意力 。這是一種有效 而且不太復雜 的方法阻止備份數(shù)據(jù)的簡單捕獲。在 SQL 2020 可以 為 備份 設(shè)定 使用密碼保護。數(shù)據(jù)庫備份可 以 存儲在服務(wù)器上，從而有利于 間接地訪問數(shù)據(jù)。往往 并 不是采取直接的方法攻擊一個目標，并 且 最終 結(jié)果 是相同的 。所有安全 控制 均 到那些 原先并未恢復數(shù)據(jù)庫 的位置上，而且 我們能夠 在適當?shù)奈恢脽o 任何限制 地 瀏覽完整的 數(shù)據(jù) 庫，以保護敏感的數(shù)據(jù)。 之后 我們在 工作的 辦公室 偶然發(fā)現(xiàn) 一個 該 應用 軟件的備份 。只有 通過 認證的 Windows用戶能夠看到屬于他們 的 數(shù)據(jù)。我們 正在進行 對使用一個數(shù)據(jù)庫后 端（ SQL）以存放客戶端的細節(jié) 的 企業(yè)內(nèi)部應用軟件 的測試。 ◆ 由于 SQL 和 Oracle 開發(fā)的漏洞給攻擊工具一個得以使用的空間。安全方面的考慮 從 面 向 網(wǎng)絡(luò) 的各部分來看 而被迫作出的。從互聯(lián)網(wǎng) 發(fā)展前景 看， 這個數(shù)據(jù)庫是不被推崇的， 但默認設(shè)置 的使用以及粗糙的安全 措施，使服務(wù)器 更加脆弱 。最近的一個例子，我記得是一個 Apache 網(wǎng)絡(luò)服務(wù)器系統(tǒng)服務(wù)組織在互聯(lián)網(wǎng)上提供 的 ，與Oracle 數(shù)據(jù)庫在互聯(lián)網(wǎng)上提供有關(guān) 端 口 1521。雖然這可能節(jié)省的購買一個單獨的服務(wù)器費用， 但這 嚴重影響 了安全問題。當安裝操作系統(tǒng)時， 有 許多好的文獻資料可以參考。 ◆ 一般 安全意識 在 我們 討論有關(guān)數(shù)據(jù)庫安全問題 之前 ，確保底層 操作 系統(tǒng)和支撐技術(shù) 的安全是審慎而且必要的 。隨著越來越多的人關(guān)注計算機安全，我們發(fā)現(xiàn)，防火墻和網(wǎng)絡(luò)服務(wù)器比 以前 都更加 安全化了 （雖然這并不等于說現(xiàn) 在不再有許多 不安全的網(wǎng)絡(luò)存在）。在下篇文章，我們將 把 焦點放在 特定的 Microsoft SQL 和Oracle 的安全關(guān) 注上 。 這是兩篇研究數(shù)據(jù)庫安全文章 中的第一篇 。 畢業(yè)設(shè)計（文獻翻譯） 第 1 頁 英文譯文 數(shù)據(jù)庫安全 Paul Morrison America PART 1 “ 為什么要 確保 數(shù)據(jù)庫服務(wù) 安全呢 ？任何人都不能 訪問 這是一個非軍事區(qū)的保護防火墻 ” ， 當我們被建議使用 一個 帶有 安全檢查 機制的裝置時， 這是 通 常的反應。事實上，在 防護 一個組織的信息 方面， 數(shù)據(jù)庫的安全是至高無上的，因為它可能會間接接觸比我們意識到的 更廣泛的 用戶 。在這篇文章中我們將討論一般數(shù)據(jù)庫安全概念和 和比較普遍的 問題。 近來 數(shù)據(jù)庫安全已成為一個熱門話題。因此，重點是 加大對 技術(shù) 的 考慮 力度 ， 譬 如 以更細膩的審查態(tài)度對待 數(shù)據(jù)庫 。如果一個 vanilla操作 系統(tǒng)無法