两位一体：安恒信息专家论应用安全和数据库安全

　　应用安全和数据库的安全就像是拼图中的拼图块，它们虽然不同，却彼此之间需要对方，缺少任何一个，都不能形成一个安全整体。如果其中一方出现安全隐患就会令整个安全防御彻底失效，如WEB应用程序存在SQL注入的时候，就会对整个系统和数据库产生更大的影响。为了减小攻击范围，开发人员和数据库管理员必须明晰他们在这个过程中的角色，共同工作，以避免WEB应用暴露任何敏感数据库。

　　如今，许多行业用户将大量有价值的客户数据存储于在线数据库，通过网络应用与外界交互。不论是通信、金融、电子政务、电子商务抑或是小小的个人博客，前端应用程序和后台数据库都不可避免地结合在我们现在的模型中，任何一个都不可离开另一个而单独存在。

　　但是由于那些应用程序在设计时是允许任何人、从任何地方登陆进入访问，因而也成为了通往隐藏在深处的重要数据的桥梁。比如在去年十二月，国内最大的程序员社区网站CSDN就遭到了黑客从WEB应用层的攻击，使得包含用户密码的数据库泄密。

　　那么如何才能使这个模型更安全呢?安恒信息专家将为您做详细的解读：使模型更安全的解决方法是让应用程序作为人与数据互动的唯一接口，应用程序界面是机器与数据互动的唯一接口。如果不是这样，那么数据交互就有可能不能被充分控制好，这将会是一个非常基本的潜在漏洞。即使访问方式定义明确，实际上应用程序依然有无数种方式令防护数据库失败，最终导致整个系统被黑客窃取或破坏。

　　安恒信息专家表示，安全管理人员和开发人员经常忽视或者错误地理解数据库，常仅仅关注于保护网络应用程序不受风险的威胁--比如说跨站脚本攻击或者注入攻击，而忘记了留意数据库本身的安全隐患。很明显，用户需要有专门的工具和策略来帮助网络应用程序开发人员保护后台数据库的安全性，而数据库开发人员必须确保他们的网络接口尽可能地安全。

　　同时安恒信息专家还指出，现在大多数用户都是凭感觉在运行数据库安全。绝大多数用户根本没有监控他们的数据库。更令人不安的是，大多数用户甚至不知道他们的重要数据的位置，很多管理员在调查中承认他们并不能肯定数据库中包含着重要信息。

　　在多数情况下，关键点在于网络应用程序本身对于攻击者而言没什么价值，他们只是利用应用程序作为窃取或破坏数据的一种手段，第一个防范措施便是确保不仅仅是数据库管理员了解重要数据在哪里存放、如何访问到，以及面临的实际威胁。我们通常将数据库看作是一个黑盒子，只向需要的人和应用程序提供访问的方法，当选取、更新或者插入操作成功后，人们会忘记还有一些事情会发生，所以说团队合作是关键，必须要把应用安全和数据安全做到两位一体。

　　我们所面临的网络威胁

　　数据库除了有与生俱来的安全隐患以外，当应用程序访问数据库时，还要考虑到更多的威胁。数据库打补丁、权限管理和连接管理都是典型的数据库安全防范措施，常见的由网络应用程序引发的安全威胁有SQL注入式攻击，XSS跨站攻击、不安全的会话处理和权限升级、目录遍历漏洞和敏感信息泄露等漏洞。我们会深入挖掘每一种模型，但是考虑到这些风险的存在，我们最重要的是尽可能少的给予特权，通过监控输入数据和建立安全连接来加强读取方式的安全性，同时还要限制数据库服务器对外暴露的机率。SQL注入、跨站脚本漏洞、目录遍历漏洞、敏感信息泄露等漏洞