數據庫中儲存這大量的數據信息，這是的節哀啊都知道的，因此，保護數據庫就成為了保護數據的重要環節。如今數據庫的威脅是越來越多，威脅著數據庫的安全，數據庫中的數據隨時都有被且取得威脅，所以，數據庫安全工作必須要重視。其實，在考慮購買第三方的專業數據庫保護產品之前，有很多工作是可以現在就開始做的，尤其是對于那些數據管理員（DBA）而言。學習一些基本的數據庫安全知識對他們很有幫助。這篇文章就講述了其中一些要點。

當前數據庫主要存在十類安全威脅：

威脅1:濫用過高權限

威脅2:濫用合法權

威脅3:權限提升

威脅4:平臺漏洞

威脅5:SQL注入

威脅6:審計記錄不足

威脅7:拒絕服務

威脅8:數據庫通信協議漏洞

威脅9:身份驗證不足

威脅10:備份數據暴露

下文中就為大家解讀數據庫威脅：

威脅1:濫用過高權限

當用戶（或應用程序）被授予超出了其工作職能所需的數據庫訪問權限時，這些權限可能會被惡意濫用。例如，一個大學管理員在工作中只需要能夠更改學生的聯系信息，不過他可能會利用過高的數據庫更新權限來更改分數。

威脅2:濫用合法權

用戶還可能將合法的數據庫權限用于未經授權的目的。假設一個惡意的醫務人員擁有可以通過自定義Web應用程序查看單個患者病歷的權限。通常情況下，該Web應用程序的結構限制用戶只能查看單個患者的病史，即無法同時查看多個患者的病歷并且不允許復制電子副本。但是，惡意的醫務人員可以通過使用其他客戶端（如MS:Excel）連接到數據庫，來規避這些限制。通過使用MS:Excel以及合法的登錄憑據，該醫務人員就可以檢索和保存所有患者的病歷。

這種私自復制患者病歷數據庫的副本的做法不可能符合任何醫療組織的患者數據保護策略。要考慮兩點風險。第一點是惡意的醫務人員會將患者病歷用于金錢交易。第二點可能更為常見，即員工由于疏忽將檢索到的大量信息存儲在自己的客戶端計算機上，用于合法工作目的。一旦數據存在于終端計算機上，就可能成為特洛伊木馬程序以及筆記本電腦盜竊等的攻擊目標。

威脅3:權限提升

攻擊者可以利用數據庫平臺軟件的漏洞將普通用戶的權限轉換為管理員權限。漏洞可以在存儲過程、內置函數、協議實現甚至是SQL語句中找到。例如，一個金融機構的軟件開發人員可以利用有漏洞的函數來獲得數據庫管理權限。使用管理權限，惡意的開發人員可以禁用審計機制、開設偽造的帳戶以及轉帳等。

威脅4:平臺漏洞

底層操作系統（Windows2000、UNIX等）中的漏洞和安裝在數據庫服務器上的其他服務中的漏洞可能導致未經授權的訪問、數據破壞或拒絕服務。例如，“沖擊波病毒”就是利用了Windows2000的漏洞為拒絕服務攻擊創造條件。

威脅5:SQL注入

在SQL注入攻擊中，入侵者通常將未經授權的數據庫語句插入（或“注入”）到有漏洞的SQL數據信道中。通常情況下，攻擊所針對的數據信道包括存儲過程和Web應用程序輸入參數。然后，這些注入的語句被傳遞到數據庫中并在數據庫中執行。使用SQL注入，攻擊者可以不受限制地訪問整個數據庫。防止SQL注入將以下三個技術結合使用可以有效地抵御SQL注入：入侵防御系統(IPS)、查詢級別訪問控制（請參閱“濫用過高權限”）和事件相關。IPS可以識別有漏洞的存儲過程或SQL注入字符串。但是，單獨使用IPS并不可靠，因為SQL注入字符串很容易發生誤報。如果只依賴IPS，安全管理人員會發現大量“可能的”SQL注入警報，被搞得焦頭爛額。

威脅6:審計記錄不足

自動記錄所有敏感的和/或異常的數據庫事務應該是所有數據庫部署基礎的一部分。如果數據庫審計策略不足，則組織將在很多級別上面臨嚴重風險。

威脅7:拒絕服務

拒絕服務(DOS)是一個寬泛的攻擊類別，在此攻擊中正常用戶對網絡應用程序或數據的訪問被拒絕。可以通過多種技巧為拒絕服務(DOS)攻擊創造條件，其中很多都與上文提到的漏洞有關。例如，可以利用數據庫平臺漏洞來制造拒絕服務攻擊，從而使服務器崩潰。其他常見的拒絕服務攻擊技巧包括數據破壞、網絡泛洪和服務器資源過載（內存、CPU等）。資源過載在數據庫環境中尤為普遍。

威脅8:數據庫通信協議漏洞

在所有數據庫供應商的數據庫通信協議中，發現了越來越多的安全漏洞。在兩個最新的IBMDB2FixPack中，七個安全修復程序中有四個是針對協議漏洞1。同樣地，最新的Oracle季度補丁程序所修復的23個數據庫漏洞中有11個與協議有關。針對這些漏洞的欺騙性活動包括未經授權的數據訪問、數據破壞以及拒絕服務。例如，SQLSlammer2蠕蟲就是利用了MicrosoftSQLServer協議中的漏洞實施拒絕服務攻擊。更糟糕的是，由于自身數據庫審計機制不審計協議操作，所以在自身審計記錄中不存在這些欺騙性活動的記錄。

威脅9:身份驗證不足

薄弱的身份驗證方案可以使攻擊者竊取或以其他方法獲得登錄憑據，從而獲取合法的數據庫用戶的身份。攻擊者可以采取很多策略來獲取憑據。

·暴力:攻擊者不斷地輸入用戶名/密碼組合，直到找到可以登錄的一組。暴力過程可能是靠猜測，也可能是系統地枚舉可能的用戶名/密碼組合。通常，攻擊者會使用自動化程序來加快暴力過程的速度。

·社會工程–在這個方案中，攻擊者利用人天生容易相信別人的傾向來獲取他人的信任，從而獲得其登錄憑據。例如，攻擊者可能在電話中偽裝成一名IT經理，以“系統維護”為由要求提供登錄憑據。

·直接竊取憑據–攻擊者可能通過抄寫即時貼上的內容或復制密碼文件來竊取登錄憑據。

威脅10:備份數據暴露

經常情況下，備份數據庫存儲介質對于攻擊者是毫無防護措施的。因此，在若干起著名的安全破壞活動中，都是數據庫備份磁帶和硬盤被盜。防止備份數據暴露所有數據庫備份都應加密。實際上，某些供應商已經建議在未來的DBMS產品中不應支持創建未加密的備份。建議經常對聯機的生產數據庫信息進行加密，但是由于性能問題和密鑰管理不善問題，這一加密方法通常是不現實的，并且一般被公認為是上文介紹的細化的權限控制的不理想的替代方法。

至于對策，有的其實由DBA通過一些配置和加固就可以DIY，當然，有的還需要考慮引入第三方的產品，例如對于提權行為、濫用合法權限行為、SQL注入行為的判定。在以后，我還會更多地談及數據庫審計的話題。

關于數據庫的十大威脅的講解就為大家介紹到這里，相信大家通過上文的學習，現在對數據庫的安全威脅有所了解，希望大家在掌握了上文中講解的數據庫十大威脅之后，能夠很好的開展數據庫的安全防護工作。