02检视您企业的数据库安全保护重要的信息资产.doc

1、检视您企业的数据库安全，保护重要的信息资产企业中的数据库系统存放着企业在进行商业活动的重要数据，举凡产品价格、订单、客户数据等等 .，信息化愈完全的企业，相形之下其数据库所存放的数据就愈显珍贵，为了保护企业内重要的信息资产，MIS/IT人员需重视数据库主机的安全。不过，有些企业的数据库主机属于程序开发人员进行管理，这些人员可能对于资安相关知识较不熟悉， 所以，可能会忽略了数据库的安全性，我们提供了几个检查点，希望给企业的MIS/IT人员一些安全上的建议，我想有些都是老生长谈，真正去执行才是第一步。九项检查点帮助MIS/IT人员加强企业数据库主机的安全提供数据库主机一台专有的计算机主机尽量避免将

2、 Web Server和数据库主机安装在同一台计算机上，因为黑客容易从WebServer进行权限的取得或提升，如此一来，便可能存取到您的数据库资源，从而窃取或破坏。不要将数据库主机放在DMZ 区在 DMZ 区的主机多数是为了提供对外的服务，若企业中的Web Server需要从数据库主机查询数据， 并对外提供服务， 建议您将数据库主机放在防火墙内的网络区段 (Intranet)，透过防火墙设定只有哪些主机(Web Server)可进行连结到数据库主机，并进行数据的存取。当进行数据的传送时利用加密功能(Encryption)建议 Web Server和数据库主机进行数据传送时， 亦可加入加密功能，

3、 例：SecureSockets Layer(SSL)，保护数据在传送时遭封包监听，目前的数据库系统(IBMDB2、 MSSQL、MySQL、 Oracle.等)都已有支持 SSL 功能。建立数据库主机的存取控制清单(Access Control List)利用存取清单来控制哪些主机被允许与数据库主机联机，进行数据的存取，因为，您不可能允许陌生人进到你家随意找数据是一样的意思。建立验证机制 (Authentication)验证机制是很基本的功能，主要利用一些登入机制来确认使用者的身份，避免Guest 账号存取数据库， 并建议启动记录功能， 对于所有存取数据库的账号做记录。设定数据库权限不同的使

4、用者身份有不同的权限， 对于机密性的数据应该只开放给有权限的使用者检视或修改，另外，有些数据库系统所提供的stored procedures能够在操作系统上执行未授权的功能， 造成安全上的顾虑， 因此，亦需注意其权限的设定。更新数据库的安全修补程序数据库应用程序和其它Windows 操作系统一样，亦有其存在的弱点，所以，亦需注意原厂公布的修补信息，并确实执行修补作业。变更数据库预设密码很多数据库程序都有预设启动程序的账号及密码，如：Oracle中有 SYS 、SYSTEM账号，而 MSSQL存在有 sa账号，建议更换掉其预设密码， 并使用严谨的密码。与操作系统相关不管是哪种数据库都需安装在操作

5、系统上，除了注意数据库本身的安全， 亦需注意操作系统是否有相关之修补程序，另外，在操作系统上亦建议采用NTFS 档案系统，并设定好档案目录之权限。如何利用 DragonSoft Secure Scanner(DSS) DSS 可以检测您企业数据库主机的相关弱点，全漏洞进行修补。评估企业数据库主机的弱点风险。并提供修补连结， 快速协助您将安进行一个安全检测， 选择 数据库 之安全稽核政策， 检测目标选择您欲检查数据库主机的 IP Address 。按下工具列上的开始按钮进行检测。检测完成后，按下工具列上的报表按钮，进行报表产生。透过有系统的稽核报表， 您便可以着手进行修补作业， 提升企业数据库主机的安全性。? 10 Steps to Help Secure Microsoft SQL Server 2000? Microsoft SQL Server 2000 Security Tools? Secure Configuration Guide for Oracle9iR2? MySQL General S