数据库安全漏洞可谓层出不穷，各公司的数据库遭受损害的“好戏”仍在不断上演。数据库的安全问题未必是由数据库本身引起的，来自其它网络角落的漏洞也会给数据库带来风险，如终端和第三方供应商。本文将总结这些风险和威胁，并提供规避风险的新技巧和见解。

　　端点受害影响数据库的安全性

　　虽然许多数据库安全专家担心内部威胁和特权访问，但如果一个端点感染了恶意软件，就会对敏感数据的存储带来威胁。看似平常的端点有可能成为黑客入侵敏感数据库的入口。黑客可依赖简单的社交工程在端点上建立立足点，从而为进一步的数据库攻击找到出路。

　　例如，一位粗心的员工访问了一个不该访问的网站或收到了一个看似来自某个朋友的邮件，单击了其中的一个链接，然后该链接又引导他下载了一个恶意的恶意程序或间谍软件。

　　此后，恶意软件包分几个不同的阶段被安装到电脑上，并且是从Web的多个位置组装的。员工先下载了某个并不了解的恶意程序组件，然后此组件又通过访问Web，进一步从其它服务器下载其它不同组件，重新组合，甚至在受害者电脑中重新编译，最终形成极危险的恶意软件。危险的恶意软件可以先从网络内部进行探测，查找易受攻击的数据库和信息存储。

　　为对付这种攻击，数据库活动的行为分析在检测端点的异常行为方面更有效，因为一般情况下这种端点访问数据库信息的数量是有限的。

　　但是，今天的黑客都有一套自动化的方法来慢慢地透露信息，所以其行为与普通用户非常类似。

　　当心第三方带来的数据损害

　　云计算似乎无所不能，并日益流行，而作为外包服务的用户却应当对安全感到忧心忡忡。如果一家公司要与另一家在线服务供应商进行贸易，它应该检查对方的安全。

　　许多公司对于将认证交给云仍感到不踏实，除非公司对于供应商及其安全性感到非常满意。不幸的是，关于供应商是否安全，并没有什么权威性或学术性的标准，所以公司需要自己努力。

　　虽然要求处理信用卡和金融数据的公司都要遵循支付卡行业数据安全标准(PCIDSS)，但我们却没有一套保护个人身份信息的标准。即使是使用与PCI相同标准的公司也未必能保证真正的安全。

　　如何应对这种风险?关键的一点是，维持客户数据的公司应当使用WEB应用防火墙，并使用安全方法来开发软件，对于关键服务器还要坚决使用白名单技术。

　　此外，处理信用卡数据和个人信息的公司还应当限制能够接触数据的服务器和雇员的数量。通过将关键信息存储到自己的服务器上，而不是将其交给第三方，公司就可以控制数据的保护。这里涉及的是Web2.0模式和整个云模式的问题，也许最佳的做法就是要把“好钢用在刀刃上”，要减少控制范围。

　　我们应该学到什么?

　　为什么数据库的安全损害常常一波未平，一波又起?原因很多，没有打补丁、启用不必要的数据库功能、失效的配置管理、缓冲区溢出、特权升级、错误的加密策略、选择了错误的第三方厂商等等。根据近年来的案例，我在这里总结几个典型的数据库安全教训。

(责任编辑：)