資料庫常見攻擊與防護

❶ 資料庫總是被攻擊，怎樣解決

網站資料庫被攻擊，一般是網站存在漏洞，像SQL注入漏洞，網站漏洞的修補與木馬後門的清除，需要很多專業的知識，也不僅僅是知識，還需要大量的經驗積累，所以從做網站到維護網站，維護資料庫，盡可能找專業的網站安全公司來解決問題，國內也就Sinesafe和綠盟、啟明星辰等安全公司比較專業，可以找他們解決防止資料庫被攻擊的問題。

❷ 如何對資料庫進行安全防護

我們可以從以下幾點進行保護：
1、使用安全的密碼策略
2、使用安全的帳號策略
3、加強資料庫日誌的記錄
4、管理擴展存儲過程
5、使用協議加密
6、不要讓人隨便探測到你的TCP/IP埠
7、修改TCP/IP使用的埠
8、拒絕來自1434埠的探測
9、對網路連接進行IP限制
10、安裝資料庫審計系統（例如：昂楷資料庫審計系統）

❸ 資料庫系統的主要安全措施有哪些

方法一、資料庫數據加密
數據加密可以有效防止資料庫信息失密性的有效手段。通常加密的方法有替換、置換、混合加密等。雖然通過密鑰的保護是資料庫加密技術的重要手段，但如果採用同種的密鑰來管理所有數據的話，對於一些不法用戶可以採用暴力破解的方法進行攻擊。
但通過不同版本的密鑰對不同的數據信息進行加密處理的話，可以大大提高資料庫數據的安全強度。這種方式主要的表現形式是在解密時必須對應匹配的密鑰版本，加密時就盡量的挑選最新技術的版本。
方法二、強制存取控制
為了保證資料庫系統的安全性，通常採取的是強制存取檢測方式，它是保證資料庫系統安全的重要的一環。強制存取控制是通過對每一個數據進行嚴格的分配不同的密級，例如政府，信息部門。在強制存取控制中，DBMS所管理的全部實體被分為主體和客體兩大類。主體是系統中的活動實體，它不僅包括DBMS 被管理的實際用戶，也包括代表用戶的各進程。
客體是系統中的被動實體，是受主體操縱的，包括文件、基表、索引、視圖等等。對於主體和客體，DBMS 為它們每個實例(值)指派一個敏感度標記。主客體各自被賦予相應的安全級，主體的安全級反映主體的可信度，而客體的安全級反映客體所含信息的敏感程度。對於病毒和惡意軟體的攻擊可以通過強制存取控制策略進行防範。但強制存取控制並不能從根本上避免攻擊的問題，但可以有從較高安全性級別程序向較低安全性級別程序進行信息傳遞。
方法三、審計日誌
審計是將用戶操作資料庫的所有記錄存儲在審計日誌(Audit Log)中，它對將來出現問題時可以方便調查和分析有重要的作用。對於系統出現問題，可以很快得找出非法存取數據的時間、內容以及相關的人。從軟體工程的角度上看，目前通過存取控制、數據加密的方式對數據進行保護是不夠的。因此，作為重要的補充手段，審計方式是安全的資料庫系統不可缺少的一部分，也是資料庫系統的最後一道重要的安全防線。

❹ 如何防範SQL注入式攻擊

一、 SQL注入攻擊的簡單示例。
statement := "SELECT * FROM Users WHERE Value= " + a_variable + "
上面這條語句是很普通的一條SQL語句，他主要實現的功能就是讓用戶輸入一個員工編號然後查詢處這個員工的信息。但是若這條語句被不法攻擊者改裝過後，就可能成為破壞數據的黑手。如攻擊者在輸入變數的時候，輸入以下內容SA001』;drop table c_order--。那麼以上這條SQL語句在執行的時候就變為了SELECT * FROM Users WHERE Value= 『SA001』;drop table c_order--。
這條語句是什麼意思呢?『SA001』後面的分號表示一個查詢的結束和另一條語句的開始。c_order後面的雙連字元 指示當前行餘下的部分只是一個注釋，應該忽略。如果修改後的代碼語法正確，則伺服器將執行該代碼。系統在處理這條語句時，將首先執行查詢語句，查到用戶編號為SA001 的用戶信息。然後，數據將刪除表C_ORDER(如果沒有其他主鍵等相關約束，則刪除操作就會成功)。只要注入的SQL代碼語法正確，便無法採用編程方式來檢測篡改。因此，必須驗證所有用戶輸入，並仔細檢查在您所用的伺服器中執行構造 SQL命令的代碼。

二、 SQL注入攻擊原理。
可見SQL注入攻擊的危害性很大。在講解其防止辦法之前，資料庫管理員有必要先了解一下其攻擊的原理。這有利於管理員採取有針對性的防治措施。
SQL注入是目前比較常見的針對資料庫的一種攻擊方式。在這種攻擊方式中，攻擊者會將一些惡意代碼插入到字元串中。然後會通過各種手段將該字元串傳遞到SQLServer資料庫的實例中進行分析和執行。只要這個惡意代碼符合SQL語句的規則，則在代碼編譯與執行的時候，就不會被系統所發現。
SQL注入式攻擊的主要形式有兩種。一是直接將代碼插入到與SQL命令串聯在一起並使得其以執行的用戶輸入變數。上面筆者舉的例子就是採用了這種方法。由於其直接與SQL語句捆綁，故也被稱為直接注入式攻擊法。二是一種間接的攻擊方法，它將惡意代碼注入要在表中存儲或者作為原書據存儲的字元串。在存儲的字元串中會連接到一個動態的SQL命令中，以執行一些惡意的SQL代碼。
注入過程的工作方式是提前終止文本字元串，然後追加一個新的命令。如以直接注入式攻擊為例。就是在用戶輸入變數的時候，先用一個分號結束當前的語句。然後再插入一個惡意SQL語句即可。由於插入的命令可能在執行前追加其他字元串，因此攻擊者常常用注釋標記「—」來終止注入的字元串。執行時，系統會認為此後語句位注釋，故後續的文本將被忽略，不背編譯與執行。

三、 SQL注入式攻擊的防治。
既然SQL注入式攻擊的危害這么大，那麼該如何來防治呢?下面這些建議或許對資料庫管理員防治SQL注入式攻擊有一定的幫助。
1、 普通用戶與系統管理員用戶的許可權要有嚴格的區分。
如果一個普通用戶在使用查詢語句中嵌入另一個Drop Table語句，那麼是否允許執行呢?由於Drop語句關繫到資料庫的基本對象，故要操作這個語句用戶必須有相關的許可權。在許可權設計中，對於終端用戶，即應用軟體的使用者，沒有必要給他們資料庫對象的建立、刪除等許可權。那麼即使在他們使用SQL語句中帶有嵌入式的惡意代碼，由於其用戶許可權的限制，這些代碼也將無法被執行。故應用程序在設計的時候，最好把系統管理員的用戶與普通用戶區分開來。如此可以最大限度的減少注入式攻擊對資料庫帶來的危害。

2、 強迫使用參數化語句。
如果在編寫SQL語句的時候，用戶輸入的變數不是直接嵌入到SQL語句。而是通過參數來傳遞這個變數的話，那麼就可以有效的防治SQL注入式攻擊。也就是說，用戶的輸入絕對不能夠直接被嵌入到SQL語句中。與此相反，用戶的輸入的內容必須進行過濾，或者使用參數化的語句來傳遞用戶輸入的變數。參數化的語句使用參數而不是將用戶輸入變數嵌入到SQL語句中。採用這種措施，可以杜絕大部分的SQL注入式攻擊。不過可惜的是，現在支持參數化語句的資料庫引擎並不多。不過資料庫工程師在開發產品的時候要盡量採用參數化語句。

3、 加強對用戶輸入的驗證。
總體來說，防治SQL注入式攻擊可以採用兩種方法，一是加強對用戶輸入內容的檢查與驗證;二是強迫使用參數化語句來傳遞用戶輸入的內容。在SQLServer資料庫中，有比較多的用戶輸入內容驗證工具，可以幫助管理員來對付SQL注入式攻擊。測試字元串變數的內容，只接受所需的值。拒絕包含二進制數據、轉義序列和注釋字元的輸入內容。這有助於防止腳本注入，防止某些緩沖區溢出攻擊。測試用戶輸入內容的大小和數據類型，強制執行適當的限制與轉換。這即有助於防止有意造成的緩沖區溢出，對於防治注入式攻擊有比較明顯的效果。
如可以使用存儲過程來驗證用戶的輸入。利用存儲過程可以實現對用戶輸入變數的過濾，如拒絕一些特殊的符號。如以上那個惡意代碼中，只要存儲過程把那個分號過濾掉，那麼這個惡意代碼也就沒有用武之地了。在執行SQL語句之前，可以通過資料庫的存儲過程，來拒絕接納一些特殊的符號。在不影響資料庫應用的前提下，應該讓資料庫拒絕包含以下字元的輸入。如分號分隔符，它是SQL注入式攻擊的主要幫凶。如注釋分隔符。注釋只有在數據設計的時候用的到。一般用戶的查詢語句中沒有必要注釋的內容，故可以直接把他拒絕掉，通常情況下這么做不會發生意外損失。把以上這些特殊符號拒絕掉，那麼即使在SQL語句中嵌入了惡意代碼，他們也將毫無作為。
故始終通過測試類型、長度、格式和范圍來驗證用戶輸入，過濾用戶輸入的內容。這是防止SQL注入式攻擊的常見並且行之有效的措施。

4、 多多使用SQL Server資料庫自帶的安全參數。
為了減少注入式攻擊對於SQL Server資料庫的不良影響，在SQLServer資料庫專門設計了相對安全的SQL參數。在資料庫設計過程中，工程師要盡量採用這些參數來杜絕惡意的SQL注入式攻擊。
如在SQL Server資料庫中提供了Parameters集合。這個集合提供了類型檢查和長度驗證的功能。如果管理員採用了Parameters這個集合的話，則用戶輸入的內容將被視為字元值而不是可執行代碼。即使用戶輸入的內容中含有可執行代碼，則資料庫也會過濾掉。因為此時資料庫只把它當作普通的字元來處理。使用Parameters集合的另外一個優點是可以強制執行類型和長度檢查，范圍以外的值將觸發異常。如果用戶輸入的值不符合指定的類型與長度約束，就會發生異常，並報告給管理員。如上面這個案例中，如果員工編號定義的數據類型為字元串型，長度為10個字元。而用戶輸入的內容雖然也是字元類型的數據，但是其長度達到了20個字元。則此時就會引發異常，因為用戶輸入的內容長度超過了資料庫欄位長度的限制。

5、 多層環境如何防治SQL注入式攻擊?
在多層應用環境中，用戶輸入的所有數據都應該在驗證之後才能被允許進入到可信區域。未通過驗證過程的數據應被資料庫拒絕，並向上一層返回一個錯誤信息。實現多層驗證。對無目的的惡意用戶採取的預防措施，對堅定的攻擊者可能無效。更好的做法是在用戶界面和所有跨信任邊界的後續點上驗證輸入。如在客戶端應用程序中驗證數據可以防止簡單的腳本注入。但是，如果下一層認為其輸入已通過驗證，則任何可以繞過客戶端的惡意用戶就可以不受限制地訪問系統。故對於多層應用環境，在防止注入式攻擊的時候，需要各層一起努力，在客戶端與資料庫端都要採用相應的措施來防治SQL語句的注入式攻擊。

6、 必要的情況下使用專業的漏洞掃描工具來尋找可能被攻擊的點。
使用專業的漏洞掃描工具，可以幫助管理員來尋找可能被SQL注入式攻擊的點。不過漏洞掃描工具只能發現攻擊點，而不能夠主動起到防禦SQL注入攻擊的作用。當然這個工具也經常被攻擊者拿來使用。如攻擊者可以利用這個工具自動搜索攻擊目標並實施攻擊。為此在必要的情況下，企業應當投資於一些專業的漏洞掃描工具。一個完善的漏洞掃描程序不同於網路掃描程序，它專門查找資料庫中的SQL注入式漏洞。最新的漏洞掃描程序可以查找最新發現的漏洞。所以憑借專業的工具，可以幫助管理員發現SQL注入式漏洞，並提醒管理員採取積極的措施來預防SQL注入式攻擊。如果攻擊者能夠發現的SQL注入式漏洞資料庫管理員都發現了並採取了積極的措施堵住漏洞，那麼攻擊者也就無從下手了。

❺ 資料庫安全的防護手段

Xsecure產品系列實現對資料庫的全方位防護 ，需要覆蓋資料庫的事前、事中、事後安全；覆蓋資料庫應用安全、維護安全、使用安全和存儲安全；是最全面的資料庫防泄露產品。 資料庫漏洞掃描系統Xsecure-DBScan ，是一款幫助用戶對當前的資料庫系統進行自動化安全評估的專業軟體，能有效暴露當前資料庫系統的安全問題，提供對資料庫的安全狀況進行持續化監控，幫助用戶保持資料庫的安全健康狀態。
發現外部黑客攻擊漏洞，防止外部攻擊：實現非授權的從外到內的檢測；模擬黑客使用的漏洞發現技術，在沒有授權的情況下，對目標資料庫的安全性作深入的探測分析；收集外部人員可以利用的資料庫漏洞的詳細信息。分析內部不安全配置，防止越權訪問：通過只讀賬戶，實現由內到外的檢測；提供現有數據的漏洞透視圖和資料庫配置安全評估；避免內外部的非授權訪問。
監控資料庫安全狀況，防止資料庫安全狀況惡化：對於資料庫建立安全基線，對資料庫進行定期掃描，對所有安全狀況發生的變化進行報告和分析。 操作系統中的對象一般情況下是文件，而資料庫支持的應用要求更為精細。通常比較完整的資料庫對數據安全性採取以下措施：
（1）將資料庫中需要保護的部分與其他部分相隔。
（2）採用授權規則，如賬戶、口令和許可權控制等訪問控制方法。
（3）對數據進行加密後存儲於資料庫。 由資料庫管理系統提供一套方法，可及時發現故障和修復故障，從而防止數據被破壞。資料庫系統能盡快恢復資料庫系統運行時出現的故障，可能是物理上或是邏輯上的錯誤。比如對系統的誤操作造成的數據錯誤等。