預警即預防：6大常見數據庫安全漏洞

　　總有大批創意百出的黑客不斷搗鼓出超狡猾的新方法染指各類數據。然后，更多不那么聰明的黑客不斷重復老舊套路——因為同樣老舊的漏洞一直在全球各個企業里涌現。

　　無論如何，數據泄露總是破壞性的；但更糟的是，要怎么向受影響的用戶、投資人和證監會交代呢？一家公司上千萬用戶的個人數據，總不會自己長腳跑到黑市上躺著被賣吧？于是，在各種監管機構找上門來問一些很難堪的問題之前，我們還是來看看這幾個最常見的數據庫安全漏洞吧。

　　數據庫安全重要性上升

　　只要存儲了任何人士的任意個人數據，無論是用戶還是公司員工，數據庫安全都是重中之重。然而，隨著黑市對數據需求的上升，成功數據泄露利潤的上漲，數據庫安全解決方案也就變得比以往更為重要了。尤其是考慮到2016年堪稱創紀錄的數據泄露年的情況下。

　　身份盜竊資源中心的數據顯示，美國2016年的數據泄露事件比上一年增長了40%，高達1,093起。商業領域是重災區，緊隨其后的是醫療保健行業。政府和教育機構也是常見目標。

　　常見數據庫漏洞

　　1. 部署問題

　　這就是數據庫安全版的博爾特一蹬出起跑器就被鞋帶絆倒。數據庫經過廣泛測試以確保能勝任應該做的所有工作，但有幾家公司肯花時間保證數據庫不干點兒什么不應該干的事兒呢？

　　解決辦法：這個問題的解決辦法十分明顯：部署前做更多的測試，找出可被攻擊者利用的非預期操作。

　　2. 離線服務器數據泄露

　　公司數據庫可能會托管在不接入互聯網的服務器上，但這并不意味著對基于互聯網的威脅完全免疫。無論有沒有互聯網連接，數據庫都有可供黑客切入的網絡接口。

　　解決辦法：首先，將數據庫服務器當成聯網服務器一樣看待，做好相應的安全防護。其次，用SSL或TSL加密通信平臺加密其上數據。

　　3. 錯誤配置的數據庫

　　有太多太多的數據庫都是被老舊未補的漏洞或默認賬戶配置參數出賣的。個中原因可能是管理員手頭工作太多忙不過來，或者因為業務關鍵系統實在承受不住停機檢查數據庫的損失。無論原因為何，結果就是這么令人唏噓。

　　解決辦法：在整個公司中樹立起數據庫安全是首要任務的氛圍，讓數據庫管理員有底氣去花時間恰當配置和修復數據庫。

　　4. SQL注入

　　SQL注入不僅僅是最常見的數據庫漏洞，還是開放網頁應用安全計劃(OWASP)應用安全威脅列表上的頭號威脅。該漏洞可使攻擊者將SQL查詢注入到數據庫中，達成讀取敏感數據、修改數據、執行管理操作乃至向操作系統發出指令等目的。

　　解決辦法：開發過程中，對輸入變量進行SQL注入測試。開發完成后，用防火墻保護好面向Web的數據庫。

　　5. 權限問題

　　涉及訪問權限，數據庫面臨兩大主要問題：

　　員工被賦予超出工作所需的過多權限；

　　合法權限被未授權或惡意使用。

　　解決辦法：權限分發時遵循最小權限原則，僅給員工賦予完成工作所需最小權限。數據庫訪問也要受到嚴格監視，確保員工權限僅用于經授權的操作。員工離職時需立即撤銷分發給他/她的權限。

　　6. 存檔數據

　　與上一條相關，無論出于報復還是利益，員工通過盜取數據庫備份獲得大量個人資料的事屢見不鮮。

　　解決辦法：加密存檔數據，嚴密監視存檔數據訪問和使用情況，可以大幅減少內部人威脅。

　　常見后果

　　2016這個無比繁忙的數據泄露年的全部影響尚未真正顯現。最初的傷害作用在受影響企業身上，包括公關災難、負面報道和用戶及員工信譽損失。監管處罰和集體訴訟的賠款會在更晚些時候兌現。最終，企業會損失千百萬美元的罰金和賠款，還有更巨量的收益損失，所有這一切都源于最常見的數據庫安全漏洞。是時候把常見轉變為少見了，而第一步，就是意識。