软考信安20~数据库系统安全
1、数据库安全概况
1.1、数据库安全概念
数据库是网络信息系统的基础性软件,承载着各种各样的数据,成为应用系统的支撑平台。
国外主流的数据库系统有MSSQL 、MySQL 、Oracle 、DB2 等,国产数据库系统主要有人大金仓、达梦等。
1.2、数据库安全威胁
授权的误用(Misuses of Authority) 。
逻辑推断和汇聚(Logical Inference and Aggregation)
伪装(Masquerade)
旁路控制(Bypassing Controls)
隐蔽信道(Covert Channels)
SQL 注入攻击(SQL Injection)
数据库口令密码破解
硬件及介质攻击
1.3、数据库安全隐患
(1)数据库用户账号和密码隐患
以Oracle 数据库为例,其安全隐患如下:
• Oracle 内部密码,储存在strXXX.cmd 文件中,其中XXX 是Oracle 系统ID 和SID,默认是“ORCL" 。这个密码用于数据库启动进程,提供完全访问数据库资源。这个文件在Windows NT 中需要设置权限。
• Oracle 监听进程密码,保存在文件”listener.ora" (保存着所有的Oracle 执行密码&#