首先来讲一讲数据库

进入2020年，大数据(big data)一词越来越多地被提及，人们用它来描述和定义信息爆炸时代产生的海量数据，并命名与之相关的技术发展与创新。它已经上过《纽约时报》《华尔街日报》的专栏封面，进入美国白宫官网的新闻，现身在国内一些互联网主题的讲座沙龙中，甚至被嗅觉灵敏的证券公司等写进了投资推荐报告。

         数据正在迅速膨胀并变大，它决定着企业的未来发展，虽然现在企业可能并没有意识到数据爆炸性增长带来问题的隐患，但是随着时间的推移，人们将越来越多的意识 到数据对企业的重要性。

         数据库安全事故的层出不穷，诸如银行内部数据泄漏造成资金失密、信用卡信息被盗用导致的系用卡伪造、企业内部机密数据泄漏引起的竞争力下降、医疗患者信息泄漏导致患者被“监控”……，这些情况无不说明了应用系统审计的重要性。

         我们来分析一下现今数据库面临的主要威胁：

     威胁 1 - 滥用过高权限 

         当用户（或应用程序）被授予超出了其工作职能所需的数据库访问权限时，这些权限可能会被恶意滥用。例如，一个大学管理员在工作中只需要能够更改学生的联系信息，不过他可能会利用过高的数据库更新权限来更改分数。

         威胁 2 - 滥用合法权 

         用户还可能将合法的数据库权限用于未经授权的目的。假设一个恶意的医务人员拥有可以通过自定义 Web 应用程序查看单个患者病历的权限。通常情况下，该 Web应用程序的结构限制用户只能查看单个患者的病史，即无法同时查看多个患者的病历并且不允许复制电子副本。但是，恶意的医务人员可以通过使用其他客户端（如MS-Excel）连接到数据库，来规避这些限制。通过使用 MS-Excel 以及合法的登录凭据，该医务人员就可以检索和保存所有患者的病历。

         威胁 3 - 权限提升 

         攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权限。漏洞可以在存储过程、内置函数、协议实现甚至是 SQL语句中找到。例如，一个金融机构的软件开发人员可以利用有漏洞的函数来获得数据库管理权限。使用管理权限，恶意的开发人员可以禁用审计机制、开设伪造的帐户以及转帐等。

         威胁 4 - SQL 注入 

         在SQL注入攻击中，入侵者通常将未经授权的数据库语句插入（或“注入”）到有漏洞的SQL数据信道中。通常情况下，攻击所针对的数据信道包括存储过程和Web应用程序输入参数。然后，这些注入的语句被传递到数据库中并在数据库中执行。使用SQL注入，攻击者可以不受限制地访问整个数据库。 

         威胁 5 – 日志记录不完善 

         自动记录所有敏感的和/或异常的数据库事务应该是所有数据库部署基础的一部分。如果数据库审计策略不足，则组织将在很多级别上面临严重风险。

         威胁 6 - 身份验证不足 

         薄弱的身份验证方案可以使攻击者窃取或以其他方法获得登录凭据，从而获取合法的数据库用户的身份。攻击者可以采取很多策略来获取凭据。

         威胁 7 - 备份数据暴露 

         经常情况下，备份数据库存储介质对于攻击者是毫无防护措施的。因此，在若干起著名的安全破坏活动中，都是数据库备份磁带和硬盘被盗。防止备份数据暴露所有数据库备份都应加密。实际上，某些供应商已经建议在未来的 DBMS产品中不应支持创建未加密的备份。建议经常对联机的生产数据库信息进行加密，但是由于性能问题和密钥管理不善问题，这一加密方法通常是不现实的，并且一般被公认为是上文介绍的细化的权限控制的不理想的替代方法。

那么服务器的安全我们都需要注意一些什么内容呢？？

首先我们经常用的linux系统为例子

1、更新你的服务器

保护服务器安全的第一件事是更新本地存储库，并通过应用最新的修补程序来升级操作系统和已安装的应用程序。

在 Ubuntu 和 Debian 上：

$ sudo apt update && sudo apt upgrade -y

湖南小蚁安盾网络技术有限公司（简称“小蚁网络”）成立于2014年，公司总部位于杭州，旗下在长沙、上海、重庆、深圳、北京等多个独立运营公司，已服务超过12万家客户，员工总数近300名，业务遍及全国26个省市。是一家致力于为企业提供APP定制，小程序开发，网站定制，网络安全服务商。公司花重金打造WAF防护、漏洞扫描、入侵检测、网络安全态势感知、立体防御、小蚁游戏盾、高防IP、高防CDN等产品。为企业提供专业的全方位信息化综合解决方案。客户群主要包括网络游戏、视频网站、电子商务平台、互联网门户、政府及企业网站、金融、区块链等帮助企业获得最新最快最全面的互联网信息和保障用户互联网数据的安全和稳定。我们秉承"客户第一、诚信创新"的经营理念。

QQ:2945119016    微信:xyDDoS09

旗下小蚁云安全品牌专业为客户提供DDoS流量监控、WAF防护、漏洞扫描、入侵检测、网络安全态势感知、主机加固、等保整改建设等安全业务服务。接入简单、秒级生效。为政府、金融、高校、医疗、支付、游戏、直播等各行业客户保驾护航。 www.bgpddos.com    全国服务热线：400-901-5608