數據庫備份被盜了,病毒攻擊了服務器,數據庫有未經授權的更改——如果SQL Server安全保護設置寬松的話,這些事情都會發生。
數據庫技術本質上就是許多信息系統的組件,這是由於它們用來存儲大量敏感企業數據而決定的,比如客戶信息和其它機密商業數據。正因如此,把像SQL Server這樣的數據庫稱為任何組織最有價值的資產並不為過,這也正是數據庫在內部和外部攻擊面前必須確保安全的原因。
不幸的是,事實並非如此,許多組織仍然發現數據庫安全是一個不太受人關注的話題。結果,他們沒有全面的數據庫安全策略來保護他們的數據庫基礎設施不受內部和外部攻擊。許多數據庫甚至不能滿足常規法規需求,比如Gramm-Leach-Bliley法案(簡稱GLBA)、歐洲數據保護聯盟(簡稱EUDPD)、健康保險流通與責任法案(簡稱HIPAA)、支付卡行業數據安全標准(簡稱PCI DSS)以及塞班斯法案(簡稱SOX)。
公司缺乏SQL Server安全策略
XYZ公司是一家大型制藥公司,在全球范圍內針對小型制藥公司銷售各種醫藥產品。因為SQL Server有良好的往績記錄,漏洞和弱點比較少,所以XYZ公司使用SQL Server作為主數據庫技術,存儲公司的保密數據,比如客戶信息、卡信息和員工信息。這些數據是從原始Excel電子表格中移植過來的。近幾年來,XYZ公司已經在其所有業務領域獲得了顯著增長。然而,在過去一年裡,該公司卻面臨巨大輿論壓力——洩露客戶數據,未經授權訪問以及其它造成SQL Server基礎設施不安全的原因。
下面是XYZ公司SQL Server基礎設施安全漏洞列表:
●未經授權的更改。
在過去的一年中,未經授權的數據庫變更是其SQL Server基礎設施故障的主要因素。這是因為XYZ公司目前沒有變更管理流程。未經授權對數據庫變更意味著更大的外部威脅,比如來自外部黑客或惡意代碼的攻擊。
對於XYZ公司SQL Server數據庫代碼部署,很需要一套文檔化而且健全的變更管理流程,因為它可以確保授權變更應用到生產數據庫並避免不必要的風險。
●未授權用戶。
在少數情況下,會有未經授權的用戶連續訪問XYZ公司的SQL Server數據庫。這主要發生在SQL Server實例配置為混合授權模式的情況下,或者“BUILTIN\Administrators”是“系統管理員”角色也有可能發生。經調查,大部分SQL登錄(包括用sysadmin(sa)權限的登錄)存在漏洞或者空密碼,而且用戶沒有被強制要求定期修改密碼。