数据库风险类型(风险数据库怎么建立)

admin

作者

一、Facebook数据泄露被罚事件看数据的重要性

据美国媒体12日报道，美国联邦贸易委员会当天批准与脸书公司达成一项约50亿美元的和解协议。如果协议最终通过，将成为美国 *** 对科技公司开出的最大罚单。

2018年3月，脸书公司卷入数据滥用丑闻。一家名为“剑桥分析”的英国公司被曝以不正当方式获取8700万脸书用户数据，这是“脸书”创建以来遭遇的最大规模用户数据泄露事件。

8700万用户数据遭泄露，在重压之下，脸书公司首席执行官扎克伯格2018年3月在接受媒体采访时公开道歉。数据库风险类型他承认公司在保护用户数据方面犯了错误，并承诺将采取措施应对。

如今，随着科技的发展，大数据应用已经进入了产业发展、 *** 治理、民生改善等各个领域。大数据应用大大提高了人们的生产、生活水平。大数据成为了每个行业不可缺少的资源财富。然而，近年来数据泄露事件频频发生，正提示着大数据的拥有者们数据库风险类型：谁掌握了数据，谁就有义务去保护数据安全！而在大数据飞速发展、国家安全战略提升的今天，数据安全保护更具有现实意义，必须时刻把它悬在头上。

二、数据安全的含义

数据安全有两方面的含义：一是数据本身的安全，主要是指采用现代密码算法对数据进行主动保护，如数据保密、数据完整性、双向强身份认证等数据库风险类型；二是数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护，如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全，。数据安全是一种主动的包含措施，数据本身的安全必须基于可靠的加密算法与安全体系。

数据处理的安全是指如何有效的防止数据在录入、处理、统计或打印中由于硬件故障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢失现象，某些敏感或保密的数据可能不具备资格的人员或操作员阅读，而造成数据泄密等后果。从实质上讲，数据处理的安全就是数据采集、使用以及授权、管理的安全。

数据存储的安全是指数据库在系统运行之外的可读性。一旦数据库被盗，即使没有原来的系统程序，照样可以另外编写程序对盗取的数据库进行查看或修改。从这个角度说，不加密的数据库是不安全的，会造成严重的商业泄密，有点甚至是国家机密的泄露。从实质上讲，数据存储的安全就是数据保存的安全机密性，以及数据应用操作的安全可靠性。

三、数据库面临的安全风险分析及应对

如今，数据泄露事件频发，数据库主要存在如下几个方面的风险：

风险一：数据库缺乏授权管理，导致数据库权限滥用

由于对数据库安全意识的缺乏，很多数据库的权限都被滥用，很多时候，操作者（或应用程序）被授予超出了其工作职能所需的数据库访问权限时，这些权限可能会被恶意滥用。实际应用中，有很多数据库登陆的密码以及授权的权限还保留在数据库开发阶段设置的密码与权限，数据库拥有者安全意识薄弱，仅仅是使用，而从未进行改动过。这样就可能会造成用户将合法的数据库权限用于未经授权的目的。

另外，由于数据库缺乏有效防护，攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权限。对于漏洞来讲，可以在存储过程、内置函数、协议实现甚至是SQL语句中找到，这对于攻击者来讲并不是难事。对于数据库来讲，从一开始就采用密钥的方式来实施安全管理和应用，将是解决数据库授权的关键。

风险二：数据库SQL注入风险

SQL注入攻击是数据库遭遇的最大风险，相当于整个数据库被非法劫持。入侵者会将未经授权的数据库语句插入（或“注入”）到有漏洞的SQL数据信道中。通常情况下，攻击所针对的数据信道包括存储过程和Web应用程序输入参数。然后，这些注入的语句被传递到数据库中并在数据库中执行。使用SQL注入，攻击者可以不受限制地访问整个数据库。

SQL注入攻击的防御，主要是要实现对SQL语句的签名验证，无论攻击者注入何种方式的SQL，只要它不是合法授权的，那就无法实施让数据库执行操作，从而有效地抵御了SQL注入攻击。