（一）安全定义与重要性

核心概念：数据库安全指保障数据的机密性、完整性、可用性，涵盖管理安全、数据安全、应用安全及运行安全。主流数据库包括 Oracle、MS SQL、MySQL 及国产人大金仓、达梦等。

战略意义：关键基础设施数据库（如人口信息库）的安全直接影响国家安全、经济安全，企业数据泄露可能导致法律责任与品牌损失。

（二）主要安全威胁与隐患

安全威胁：

授权误用：合法用户越权访问或非法授权（如 Oracle 默认账号漏洞）。

SQL 注入：利用输入验证缺陷执行恶意 SQL 命令，导致数据泄露（如 “黛蛇” 蠕虫）。

口令破解：通过字典攻击或 “撞库” 获取权限（如 MS SQL 的 sa 空口令漏洞）。

隐蔽信道：利用共享内存等非正规途径传输数据，躲避安全控制。

安全隐患：

默认账号与弱口令：Oracle 默认账号密码存储于明文文件，MS SQL 的 sa 账号默认空口令。

扩展存储过程风险：Sybase/SQL Server 的 xp-cmdshell 可执行系统命令，成为后门。

网络明文传输：数据库与应用间通信未加密，易被窃听（如 MySQL 的 Tabular Data Stream 协议）。

（三）核心安全需求

标识与鉴别：用户身份认证（如 Oracle 支持多因素认证）。

访问控制：自主访问控制（DAC）、强制访问控制（MAC）、角色访问控制（RBAC）。

安全审计：记录操作类型、用户标识、时间等（如 MS SQL 的 C2 级审计）。

数据加密：存储加密（库内 / 库外）与传输加密（SSL 协议）。

备份与恢复：支持全量、差异、日志备份，应对故障恢复（如 SQL Server 的四种备份方案）。

（一）安全机制概述

（二）数据库加密技术

加密方式：

库内加密：在 DBMS 内部实现加密模块，如 Oracle 透明数据加密（TDE），阻止未授权访问存储文件。

库外加密：独立加密部件处理，如达梦数据库通过加密引擎调用外部密码设备。

技术方法：

基于文件加密（整体加密数据库文件）、基于记录加密（逐记录加密）、基于字段加密（细粒度加密敏感字段）。

（三）数据库防火墙

核心功能：

阻断 SQL 注入、缓冲区溢出攻击，如通过虚拟补丁包防御 0day 漏洞。

限制高危操作（如 DROP TABLE），防止内部人员误操作。

审计访问记录，包括用户名、IP、SQL 语句等。

（一）Oracle 数据库

安全机制：

认证体系：支持操作系统认证、SSL 认证、口令文件认证，可设置口令复杂度与锁定策略。

访问控制：细粒度访问控制（FGAC）针对 SQL 操作设置策略，数据库保险库（DV）隔离敏感数据域。

加密与屏蔽：透明数据加密（TDE）保护存储数据，数据屏蔽（Data Masking）隐藏敏感信息。

最佳实践：

删除默认账号（如 SCOTT/TIGER），修改 sys/sysdba 密码。

限制 TNS 监听器连接 IP，启用 SSL 加密传输。

定期安装 CPU 补丁（Critical Patch Updates），如修复 CVE-2020-2737 漏洞。

（二）MS SQL Server

安全风险：

扩展存储过程：xp-cmdshell 可执行系统命令，需删除或限制权限。

默认端口与账号：1433 端口易被扫描，sa 账号默认空口令（Slammer 蠕虫利用点）。

增强措施：

更改默认端口，仅允许授权 IP 访问。

启用透明数据加密（TDE），加密敏感字段。

禁用未使用的存储过程，如 xp_regread、xp_cmdshell。

安全机制：

授权表：user、db、host 等 5 张表控制访问权限，支持 GRANT/REVOKE 动态授权。

审计日志：记录连接、查询等操作，存储于 /var/log/mysql.log。

加固实践：

关闭远程连接，仅允许本地通过 mysql.sock 连接。

禁止 LOAD DATA LOCAL INFILE 命令，防止本地文件读取。

修改 root 用户名为非默认名称，防止暴力破解。

（一）典型产品与安全特性

达梦数据库：

支持透明加密、半透明加密，集成国密算法（SM2/SM4）。

通过密码引擎对接外部加密硬件，满足等保四级要求。

人大金仓 KingbaseES：

实现强制访问控制（MAC）、推理控制，通过公安部四级认证。

提供完整性检测工具，防御数据篡改。

（二）安全挑战与措施

主要风险：

第三方组件漏洞（如 OpenSSL 协议缺陷）。

安全配置不当（弱口令、未启用审计）。

增强措施：

漏洞扫描：使用天融信脆弱性扫描与管理系统（简称TopScanner），安华金和数据库漏洞扫描系统(简称DSAS)等工具检测国产数据库漏洞。

加密方案：达梦数据库提供全生命周期加密，从存储到传输。

（一）2023 年单选题

题目：下列哪项属于数据库安全威胁中的授权误用？（ ）

A. 攻击者假冒 DBA 账号

B. 合法用户越权修改财务数据

C. 通过 SQL 注入获取数据

D. 利用缓冲区溢出执行命令

答案：B

解析：授权误用指合法用户滥用权限，如越权修改数据；A 属于伪装，C 属于 SQL 注入，D 属于旁路控制。

（二）2022 年案例分析题

背景：某企业 Oracle 数据库遭 SQL 注入攻击，需设计防护方案。

问题：

列出两种技术防护措施；

说明 Oracle 数据库防火墙的作用。

参考答案：

措施：

部署数据库防火墙，阻断恶意 SQL 语句；

启用 Oracle 细粒度访问控制（FGAC），限制危险操作。

防火墙作用：

实时检测 SQL 注入，阻止攻击流量；

提供虚拟补丁，无需升级数据库即可防御漏洞。

安全威胁分类：

授权误用、SQL 注入、口令破解、隐蔽信道（需区分各威胁的技术特征）。

加密技术对比：

库内加密（如 Oracle TDE）与库外加密（如达梦加密引擎）的适用场景。

数据库加固重点：

Oracle：删除默认账号、启用 DV 保险库；

MS SQL：禁用 xp-cmdshell、修改 sa 密码；

MySQL：关闭远程连接、限制文件导入。

工具实操：用 Nessus 扫描数据库漏洞，了解如何通过 Oracle DV 配置安全域隔离敏感数据。

标准关注：重点掌握 GB/T 20273-2019 对数据库安全等级的要求（如四级系统需强制访问控制）。

案例联想：以 Slammer 蠕虫为例，理解 MS SQL 默认账号漏洞的危害及防护流程。 

【原文来源：网络安全攻防与治理 】

第1关 网络信息安全概述

第2关 网络攻击原理与常用方法

第3关 密码学基本理论

第4关 网络安全体系与网络安全模型

第5关 物理与环境安全技术

第6关 认证技术原理与应用

第7关 访问控制技术原理与应用

第8关 防火墙技术原理与应用

第9关 VPN技术原理与应用

第10关 入侵检测技术原理与应用

第11关 网络物理隔离技术原理与应用

第12关 网络安全审计技术原理与应用

第13关 网络安全漏洞防护技术原理与应用

第14关 恶意代码防范技术原理与应用

第15关 网络安全主动防御技术与应用

第16关 网络安全风险评估技术原理与应用总结

第17关 网络安全应急技术原理与应用

第18关 网络安全测评技术与标准

第19关 操作系统安全

挖矿病毒【应急响应】处置手册

用Deepseek实现Web渗透自动化

【风险】DeepSeek等大模型私有化服务器部署近九成在“裸奔”，已知漏洞赶紧处理！

关于各大网安厂商推广「DeepSeek一体机」现象的深度分析

Deepseek真的能搞定【安全运营】？

【热点】哪些网络安全厂商接入了DeepSeek？

【2025】常见的网络安全服务大全（汇总详解）

AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿)，附下载

DeepSeek突遭大规模恶意攻击！

【2024】年度最活跃的勒索软件组织TOP 10

超300万台未加密邮件服务器暴露，用户数据面临严重威胁！

电网黑客：通过无线电控制路灯和发电厂

网络安全公司“内鬼”监守自盗 编写代码当黑客 窃取公民个人信息2.08亿条

大众汽车集团欧洲发生严重数据泄漏，80万车主可被定位

2025年 · 网络威胁趋势【预测】

【实操】常见的安全事件及应急响应处

2024 网络安全人才实战能力白皮书安全测试评估篇

阅读原文

跳转微信打开

Fish AI Reader

Fish AI Reader

AI辅助创作，多种专业模板，深度分析，高质量内容生成。从观点提取到深度思考，FishAI为您提供全方位的创作支持。新版本引入自定义参数，让您的创作更加个性化和精准。

FishAI

鱼阅，AI 时代的下一个智能信息助手，助你摆脱信息焦虑

联系邮箱 441953276@qq.com