数据库服务器的安全[3]

还有一个不很明显的原因说明了保证数据库安全的重要性－数据库系统自身可能会提供危及整个网络体系的机制。例如，某个公司可能会用数据库服务器保存所有的技术手册、文档和白皮书的库存清单。数据库里的这些信息并不是特别重要的，所以它的安全优先级别不高。即使运行在安全状况良好的操作系统中，入侵者也可通过“扩展入驻程序”等强有力的内置数据库特征，利用对数据库的访问，获取对本地操作系统的访问权限。这些程序可以发出管理员级的命令，访问基本的操作系统及其全部的资源。如果这个特定的数据库系统与其它服务器有信用关系，那么入侵者就会危及整个网络域的安全。

数据库是新型电子交易、企业资源规划（ERP）和其它重要商业系统的基础。

在电子商务、电子贸易的着眼点集中于WEB服务器、Java和其它新技术的同时，应该记住这些以用户为导向和企业对企业的系统都是以Web服务器后的关系数据库为基础的。它们的安全直接关系到系统的有效性、数据和交易的完整性、保密性。系统拖延效率欠佳，不仅影响商业活动，还会影响公司的信誉。不可避免地，这些系统受到入侵的可能性更大，但是并未对商业伙伴和客户敏感信息的保密性加以更有效的防范。此外，ERP和管理系统，如ASPR/3和PeopleSoft等，都是建立在相同标准的数据库系统中。无人管理的安全漏洞与时间拖延、系统完整性问题和客户信任等有直接的关系。

我需要寻找哪此类型的安全漏洞呢？

传统的数据库安全系统只侧重于以下几项：用户帐户、作用和对特定数据库目标的操作许可。例如，对表单和存储步骤的访问。必须对数据库系统做范围更广的彻底安全分析，找出所有可能领域内的潜在漏洞，包括以下提到的各项内容。

与销售商提供的软件相关的风险－软件的BUG、缺少操作系统补丁、脆弱的服务和选择不安全的默认配置。

与管理有关的风险 －可用的但并未正确使用的安全选项、危险的默认设置、给用户更多的不适当的权限，对系统配置的未经授权的改动。