读者之林
分享你我所想

A站也被黑了,反思一下如何增加数据库安全度

        2018年6月13日凌晨,AcFun弹幕视频网在其官网发布《关于AcFun受黑客攻击致用户数据外泄的公告》称,AcFun受黑客攻击,近千万条用户数据外泄,包含用户ID、用户昵称、加密存储的密码等信息。

在发生数据泄露事件后,官方也是第一时间发出了公告。

      各类大型视频网站频频被入侵,作为建站站长,对于数据库安全应有新的认识。目前,针对应用及其后台数据库的应用级入侵已经变得越来越猖獗,如SQL注入、跨站点脚本攻击和未经授权的用户 访问等。所有这些入侵都有可绕过前台安全系统并对数据来源发起攻击。

      那么,如何增加数据库的安全呢?

       数据库数据加密

       通常加密的方法有替换、置换、混并加密等。虽然通过密钥的保护是数据库加密技术的重要手段,但如果采用同种的密钥来管理所有数据的话,对于一些不法用户可以采用各种解觉方法进行攻击。但通过不同版本的密钥对不同的数据信息进行加密处理的话,可以大大提高数据库数据的安全强度。这种方式主要的表现形式是在解密时必须对应匹配的密钥版本,加密时就尽量的挑选最新技术的版本。

        强制存取控制

        为了保证数据库系统的安全性,通常采取的是强制存取检测方式,它是保证数据库系统安全的重要的一环。强制存取控制是通过对每一个数据进行严格的分配不同的密级。在强制存取控制中,DBMS所管理的全部实体被分为主体和客体两大类。主体是系统中的活动实体,它不但包括DBMS被管理的实际用户,还包括代表用户的各进程。客体是系统中的被动实体,是受主体操纵的,包括文件、基表、索引、视图等等。对于主体和客体,DBMS为它们每个实例(值)指派一个敏感度标记。主客体各自被赋予相应的安全级,主体的安全级反映主体的可信度,而客体的安全级反映客体所含信息的敏感程度。对于病毒和恶意软件的攻击可以通过强制存取控制策略进行防范。但强制存取控制并不能从根本上避免攻击的问题,但可以有从较高安全性级别程序向较低安全性级别程序进行信息传递。

        审计日志

        审计是将用户操作数据库的所有记录存储在审计日志中,它对将来出现问题时可以方便调查和分析有重要的作用。对于系统出现问题,可以很快得找出非法存取数据的时间、内容以及相关的人。从软件工程的角度上看,目前通过存取控制、数据加密的方式对数据进行保护是不够的。因此,作为重要的补充手段,审计方式是安全的数据库系统不可缺少的一部分,也是数据库系统的最后一道重要的安全防线。

       做好权限管理

       云计算厂商一般都会提供访问控制(Cloud Access Management,CAM)的Web服务,主要用于帮助客户安全管理账户下的资源的访问权限。通过CAM创建、管理和销毁用户(组),并使用身份管理和策略管理控制其他用户使用云资源的权限。对于密级较高的数据,也可以采用密钥管理服务(Key Management Service)来进行加密。

        自定义专属私有网络

        目前云计算厂商均会提供私有网络访问,在云上自定义的逻辑隔离网络空间。私有网络下的实例可被启动在预设的、自定义的网段下,与其他云租户相互隔离。

利用安全组控制访问权限:安全组是一种有状态的包含过滤功能的虚拟防火墙,用于设置单台或多台服务器的网络访问控制,运维人员需要控制好相应机器的访问列表,严格控制安全组的访问列表。

        做好多重认证信息

        做好密码的强认证,强制要求数据库密码的复杂度,防止被黑客暴力破解;针对高危的操作,如drop table,drop database操作做好权限控制禁止,添加短信密码的认证,当然这块的开发成本也是非常高昂。

加强数据通信加密:有条件的可以采取IPsec VPN数据通道加密,或者使用SSL的传输加密,当然要承担30%左右的性能损失。

        数据加密

        开启数据存储加密(如TDE),防止数据意外泄露后直接被黑客解密相应核心数据。 一旦入侵行为发生,除了采取必要措施进行封堵,就是回溯和确认攻击源头,还原恶意行为的蛛丝马迹。我们需要一个详细的审计日志的记录和存储,便于查出”对手”的详细信息以及准确的损失评估,便于后面的长期预防和业务止血。

赞(5) 打赏
转载请标明文章出处:读林博客 » A站也被黑了,反思一下如何增加数据库安全度
分享到: 更多 (0)

评论 16

  • QQ (选填)
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #16

    На нашем сайте neweda.ru вы найдете рецепты на каждый день. Ищите и делитесь рецептами с другими пользователями.

    #gennic2年前 (2018-11-27)回复
  2. #15

    Девчули, хотела бы Вам поделиться высочайшего качества аппаратный педикюр в Москве в пл. Ленина. Мне там очень понравилось как они там педикюр делают – результат меня порадовл, мои ноги теперь самы клевые. Называются они Красиво их сайт http://medystar.ru/apparatniy-medicinskjiy-pedikur.html

    Jessrix2年前 (2018-11-25)回复
  3. #14

    drug prices comparison

    northwest pharmacy Acaps2年前 (2018-11-22)回复
  4. #13

    На каком интернет-сайте купить и скачать эксклюзивный обучающий курс всего за доллар? Большинство премиальных обучающих курсов имеют чрезмерно большую общую стоимость для типичного “гражданина” уникальной страны Интернетия ( от двух тысяч рублей и до 100 000 рублей и выше). Поэтому, постоянно актуальным был момент- где и как разрешается скачать бесплатно или фактически бесплатно, необходимый инфокурс ? Совсем недавно появились пощзволяющие экономить сайты-складчины, где можно внести определенный взнос и затем ожидать довольно долго, когда тебе вышлют желаемую информацию. А есть безмерно Быстрый и приятный способ : необыкновенный тест-драйв интересного курса за какой-то доллар. Всего за 1 доллар вы сможете получить доступ почти к каждому курсу, изучаете его, а потом уже решаете- имеет ли смысл его заказывать и покупать у автора. Я несомненно помогу вам сэкономить все ваши денежные средства , нервы и время! Попробовать на цвет и вкус любой обучающий курс возможно здесь: http://clc.to/PZLRrQ

    Приобрести хороший обучающий инфокурс
    Купить качественный видеообучающий тренинг

    обучающие курсы управления
    обучающие курсы в спб

    VikaWeala2年前 (2018-11-20)回复
  5. #12

    Slivphoto2年前 (2018-11-20)回复
  6. #11

    Други большая просьба скажите,
    кто нибудь заказывал аудит вот здесь posetitelinasait.ru
    Интересует насколько правильно делают и каково содержание инструкции.
    Деньги небольшие просят за услугу и читал много хороших отзывов о них, но все равно хочется узнать еще немного о них. Плиз посоветуйте

    Justindiutt2年前 (2018-11-15)回复

打赏一下作者吧

支付宝扫一扫打赏

微信扫一扫打赏