中華龍網 www.dragonsoft.com 檢視您企業的資料庫安全，保護重要的資訊資產 企業中的資料庫系統存放著企業在進行商業活動的重要資料，舉凡產品價格、訂單、客戶資料等等...，資訊化愈完全的企業，相形之下其資料庫所存放的資料就愈顯珍貴，為了保護企業內重要的資訊資產，MIS/IT 人員需重視資料庫主機的安全。 不過，有些企業的資料庫主機屬於程式開發人員進行管理，這些人員可能對於資安相關知識較不熟悉，所以，可能會忽略了資料庫的安全性，我們提供了幾個檢查點，希望給企業的 MIS/IT人員一些安全上的建議，我想有些都是老生長談，真正去執行才是第一步。 九項檢查點幫助 MIS/IT 人員加強企業資料庫主機的安全 提供資料庫主機一台專有的電腦主機 儘量避免將 Web Server 和資料庫主機安裝在同一台電腦上，因為駭客容易從 Web Server 進行權限的取得或提昇，如此一來，便可能存取到您的資料庫資源，從而竊取或破壞。 不要將資料庫主機放在 DMZ 區 在 DMZ 區的主機多數是為了提供對外的服務，若企業中的 Web Server 需要從資料庫主機查詢資料，並對外提供服務，建議您將資料庫主機放在防火牆內的網路區段 (Intranet)，透過防火牆設定只有哪些主機(Web Server) 可進行連結到資料庫主機，並進行資料的存取。 當進行資料的傳送時利用加密功能 (Encryption) 建議 Web Server 和資料庫主機進行資料傳送時，亦可加入加密功能，例：Secure Sockets Layer(SSL)，保護資料在傳送時遭封包監聽，目前的資料庫系統 (IBM DB2、MSSQL、MySQL、Oracle..等) 都已有支援 SSL 功能。 建立資料庫主機的存取控制清單 (Access Control List) 利用存取清單來控制哪些主機被允許與資料庫主機連線，進行資料的存取，因為，您不可能允許陌生人進到你家隨意找資料是一樣的意思。 建立驗證機制 (Authentication) 驗證機制是很基本的功能，主要利用一些登入機制來確認使用者的身份，避免 Guest 帳號存取資料庫，並建議啟動記錄功能，對於所有存取資料庫的帳號做記錄。 設定資料庫權限 不同的使用者身份有不同的權限，對於機密性的資料應該只開放給有權限的使用者檢視或修改，另外，有些資料庫系統所提供的 stored procedures 能夠在作業系統上執行未授權的功能，造成安全上的顧慮，因此，亦需注意其權限的設定。 更新資料庫的安全修補程式 資料庫應用程式和其他 Windows 作業系統一樣，亦有其存在的弱點，所以，亦需注意原廠公佈的修補資訊，並確實執行修補作業。 變更資料庫預設密碼 很多資料庫程式都有預設啟動程式的帳號及密碼，如：Oracle 中有 SYS 、 SYSTEM 帳號，而 MSSQL 存在有 sa 帳號，建議更換掉其預設密碼，並使用嚴謹的密碼。 與作業系統相關 不管是哪種資料庫都需安裝在作業系統上，除了注意資料庫本身的安全，亦需注意作業系統是否有相關之修補程式，另外，在作業系統上亦建議採用 NTFS 檔案系統，並設定好檔案目錄之權限。 如何利用 DragonSoft Secure Scanner(DSS) 評估企業資料庫主機的弱點風險。 DSS 可以檢測您企業資料庫主機的相關弱點，並提供修補連結，快速協助您將安全漏洞進行修補。 進行一個安全檢測，選擇 "資料庫" 之安全稽核政策，檢測目標選擇您欲檢查資料庫主機的 IP Address。 按下工具列上的開始按鈕進行檢測。 檢測完成後，按下工具列上的報表按鈕，進行報表產生。 透過有系統的稽核報表，您便可以著手進行修補作業，提昇企業資料庫主機的安全性。 相關連結 10 Steps to Help Secure Microsoft SQL Server 2000 Microsoft SQL Server 2000 Security Tools Secure Configuration Guide for Oracle9iR2 MySQL General Security Guidelines IBM DB2 相關弱點資訊 Microsoft SQL Server 相關弱點資訊 MySQL 相關弱點資訊 Oracle 相關弱點資訊 關於 DragonSoft Security Associates, Inc. (中華龍網股份有限公司) DragonSoft 於 2002 年推出全球第一個全中文的網路安全弱點評估軟體. DragonSoft Secure Scanner 於 2003 年 10 月獲得國際安全組織 CVE(Common Vulnerability and Exposure) 的認可, 為台灣第一個獲得 CVE 認可的資訊安全產品. DragonSoft 安全弱點資料庫於 2004 年 1 月取得國際安全組織 CVE 頒發的 "CVE Compatibility Questionnaire Posted" 認證標章. 國際安全組織 CVE (Common Vulnerability and Exposure)，是目前在國際上最具公信力的安全弱點披露與發佈單位，其目前與全球九十四個組織機構（包含相關之非營利政府單位、學術研究機構、公司單位）及全球一百四十一項安全產品、三十九家開發原廠共同合作，「CVE」 是編號與命名特定弱點的標準協定，以確保哪個弱點已經清楚確實的被辨識出來。商業工具將提供追隨 CVE 協定的結果。並不是所有的軟體工具都會提供這樣的功能，而是只有少數的專屬工具(proprietary)會被 CVE 協定編入。 所有內容版權屬於中華龍網股份有限公司所有 電話：886-3-5630989 傳真：886-3-5797758 新竹市光復路一段607巷30號6樓 Copyright © DragonSoft Security Associates, Inc. All Rights Reserved ｜ 關於我們 ｜取消訂閱｜聯絡我們｜