這篇文章給出了一個國外廠商調(diào)查分析出來的十大數(shù)據(jù)庫安全漏洞：

1.默認、空白及弱用戶名/密碼

2.SQL注入

3.廣泛的用戶和組權限

4.啟用不必要的數(shù)據(jù)庫功能

5.失效的配置管理

6.緩沖區(qū)溢出

7.特權升級

8.拒絕服務攻擊

9.數(shù)據(jù)庫未打補丁

10.敏感數(shù)據(jù)未加密

此前，另一個公司也給出過數(shù)據(jù)庫安全十大威脅，兩者基本一致。

威脅 1 - 濫用過高權限

威脅 2 - 濫用合法權

威脅 3 - 權限提升

威脅 4 - 平臺漏洞

威脅 5 - SQL 注入

威脅 6 - 審計記錄不足

威脅 7 - 拒絕服務

威脅 8 - 數(shù)據(jù)庫通信協(xié)議漏洞

威脅 9 - 身份驗證不足

威脅 10 - 備份數(shù)據(jù)暴露

應該說，在應對上述數(shù)據(jù)庫威脅和風險的時候，應該有針對性地從多個方面入手，包括管理人員意識、制度、技術手段以及遵循基本的威脅防范準則。

僅從技術層面而言，對于減少數(shù)據(jù)庫可能遭受的威脅方面，建議使用Database Activity Monitoring(DAM)系統(tǒng)，也就是常說的數(shù)據(jù)庫審計系統(tǒng)。

【編輯推薦】

1. 業(yè)務驅(qū)動的網(wǎng)絡安全模式嶄露頭角
2. 年度網(wǎng)購安全橫向評測360殺毒可靠性排名第一
3. RSA執(zhí)行主席科維洛展望2012年信息安全產(chǎn)業(yè)
4. 黑客威脅公布美國安全智庫Stratfor大批電郵
5. CSDN數(shù)據(jù)泄密凸顯數(shù)據(jù)安全黑洞 飛客提示注意數(shù)據(jù)庫保護