【51CTO.com快譯6月22日外電頭條】如今頂尖的黑客一定都是頂尖的商人！因為他們的評估記錄上會寫著哪些目標(biāo)最簡單，哪些目標(biāo)最有利可圖。現(xiàn)在，可能沒有比笨拙的企業(yè)數(shù)據(jù)庫更好對付的目標(biāo)了。

一般來說，企業(yè)的數(shù)據(jù)庫中匯集著這家公司最重要的機密：客戶名單、工資記錄、以及其他許多按照良好結(jié)構(gòu)儲存的敏感信息，這些都是最容易賣出好價錢的。何況數(shù)據(jù)庫的管理員們往往不會想在安全性上精益求精，而且數(shù)據(jù)庫本身常常和網(wǎng)絡(luò)應(yīng)用聯(lián)系在一起，這些都已經(jīng)被證明是企業(yè)數(shù)據(jù)庫屢遭破解的原因。

在Verizon Business的年度計算機破壞報告中，調(diào)查小組報告說，在2008年的數(shù)據(jù)丟失案中，數(shù)據(jù)庫破壞占據(jù)了30％。更糟糕的是，在數(shù)據(jù)入侵的統(tǒng)計中，數(shù)據(jù)庫入侵高達75％（參見下圖）。由于敏感信息往往是儲存在一個單獨的數(shù)據(jù)庫中，一次簡單的入侵就可能導(dǎo)致企業(yè)遭受重大損失。

 
數(shù)據(jù)來源：Verizon 2009數(shù)據(jù)破壞調(diào)查報告，基于2008年2億8500萬次累計攻擊數(shù)據(jù)
制圖：51CTO.com安全頻道

“認真研究一下，你會發(fā)現(xiàn)安全威脅在很大比例上都來自于數(shù)據(jù)庫，”企業(yè)安全咨詢公司Securosis創(chuàng)始人兼分析師Rich Mogull說。還有大多數(shù)的信息安全管理員都是在IT網(wǎng)絡(luò)背景下成長起來，對數(shù)據(jù)庫技術(shù)并不了解太多，他另外說到。最近Forrester Research的研究也發(fā)現(xiàn)，大多數(shù)數(shù)據(jù)庫管理員僅花費不到5％的時間來保證數(shù)據(jù)庫的安全。

“我要說的是，在我就安全性問題開會的時候，三次里至少有兩次數(shù)據(jù)庫方面的人不來參加，”Gartner的信息安全和隱私研究主管Jeffrey Wheatman說?！拔艺J為這是一個大問題，因為當(dāng)你要對一個不太明白的東西進行監(jiān)測或要保證它的安全，你需要請一位這方面的專家來幫助你?！?/P>

此前，51CTO.com也曾刊載專家分析文章稱，由于企業(yè)數(shù)據(jù)庫系統(tǒng)用戶眾多，涉及數(shù)據(jù)庫管理員、內(nèi)部員工及合作方人員等，網(wǎng)絡(luò)管理非常復(fù)雜，數(shù)據(jù)庫的審計已經(jīng)成為燃眉之急。

許多數(shù)據(jù)庫的安全漏洞僅僅是由簡單的安全工作失誤造成的。在2008年的調(diào)查中，IOUG（the Independent Oracle Users Group，獨立Oracle用戶組織）發(fā)現(xiàn)，有26％的企業(yè)安裝Oracle數(shù)據(jù)庫的安全補丁的時間超過了6個月，而有11％的企業(yè)竟然從來沒有給它們打補丁?！吧a(chǎn)數(shù)據(jù)庫（production database）往往不能在第一時間得到最新的補丁，因為這些數(shù)據(jù)庫服務(wù)器的訪問非常繁忙，人們會說‘只要不出大問題，就不要去修補它’！”漏洞評估公司QuietMove的合伙人Adam Muntner說。

企業(yè)經(jīng)常會犯一些錯誤，這使數(shù)據(jù)庫變得更加脆弱，比如將測試數(shù)據(jù)庫留在生產(chǎn)服務(wù)器上，或者把敏感數(shù)據(jù)鏈接到網(wǎng)絡(luò)應(yīng)用中，這就有可能被黑客輕松竊取。“我認為數(shù)據(jù)庫面臨的最大威脅就是與網(wǎng)絡(luò)應(yīng)用相鏈接和其中的業(yè)務(wù)邏輯漏洞，”Muntner說。

與網(wǎng)絡(luò)應(yīng)用密切聯(lián)系會使數(shù)據(jù)庫容易遭受SQL注入攻擊——這個問題51CTO.com安全頻道曾專門討論過，指攻擊者輸入SQL代碼形式的字符串到網(wǎng)絡(luò)應(yīng)用的薄弱區(qū)域。他們可以襲擊連接到特定網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)庫，也可以使用網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫之間的鏈接，對整個數(shù)據(jù)庫服務(wù)器發(fā)起更廣泛的攻擊。跟據(jù)IBM的ISS X-Force安全研究團隊報告，SQL注入攻擊在去年成為因特網(wǎng)最常見的針對基于數(shù)據(jù)庫的網(wǎng)站漏洞的攻擊方式，比起2007年增長了134％。相應(yīng)地，應(yīng)對SQL注入攻擊，也需要進行全面防御。

【編輯推薦】

1. 數(shù)據(jù)庫安全技術(shù)專題
2. 數(shù)據(jù)庫系統(tǒng)防黑客入侵技術(shù)綜述
3. 專家談：確保安全 數(shù)據(jù)庫審計成燃眉之急

【51CTO.com譯稿，非經(jīng)授權(quán)請勿轉(zhuǎn)載。合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：Database Servers: Candy For Hackers  作者：Ericka Chickowski