又一数据库高危漏洞爆出，数据安全如何有效保障

2021年7月22日，Redis官方和开源Redis社区先后发布公告，披露了CVE-2021-32761 Redis（32位）远程代码执行漏洞。在32位Redis中，攻击者在Redis存在未授权访问的情况下可利用BIT命令与proto-max-bulk-len配置参数可能造成整形溢出，最终导致远程代码执行，本次漏洞等级为高危级别。需要说明的是，本次开源Redis的安全漏洞并不影响现网华为云GaussDB(for Redis)的任何实例，已经在使用华为云GaussDB(for Redis)的用户请继续放心使用。

通过本次漏洞可以发现，开源Redis对BITFIELD等命令的代码实现上存在问题，导致了对string数据类型的 *** 作存在安全隐患。随时可能被恶意触发整形溢出BUG，甚至还会被恶意执行远程代码。因此，给了黑客可乘之机。本次漏洞的代码修复已经发布，官方建议用户尽快升级到开源Redis625, 6015, 5013这三个安全版本。

那么，对于此类数据库安全漏洞该如何防患于未然呢？

数据库漏洞属于软件漏洞中的一种，主要是被用来突破系统的安全策略。数据库漏洞往往会影响很大一个范围，除了影响数据库自身，还包括数据库所在 *** 作系统和数据库所在局域网的整体安全。通常来说，防范和补救措施有：1 紧跟官方通知，排查并升级数据库到安全版本。本次漏洞事件中，开源Redis用户应第一时间完成升级；2 若短时无法升级，则从服务端开启访问限制，禁用危险命令；3 通过白名单访问IP等安全策略，提高入侵难度；4 选择可靠的云服务厂商，比如迁移至华为云数据库GaussDB(for Redis)，可全方位保障数据的安全可靠。

1全新数据编码更安全： 华为云数据库GaussDB(for Redis)采用先进存算分离架构，兼容Redis协议，提供海量数据的持久化存储。在代码实现上完全自研，采用全新数据编码，更高效，空间使用率也更高。内部每种命令的实现并不依赖开源Redis，因此，不会受到类似本次开源Redis安全漏洞的影响。

2 安全防护体系全面保障： 基于华为云可靠的现网安全体系，使用GaussDB(forRedis)的用户可以随时制定自己的白名单IP访问策略。还可以通过虚拟私有云、子网、安全组、DDoS防护以及SSL安全访问等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全，不给未知来源的恶意访问留有任何机会。

华为云数据库GaussDB(forRedis)是一款完全自研的旗舰产品，是支持Redis协议的NoSQL数据库，而不是缓存。与开源Redis最大的区别是，它具备存算分离架构，提供强大的数据存储能力，包括强一致、d性扩缩容等高级特性。GaussDB(for Redis)为用户带来了更低成本、更大容量、更高可靠、且d性伸缩的极佳产品体验。

对于正在使用开源Redis26以上各版本的用户，GaussDB(for Redis)还提供了一站式的迁移服务，无需技术门槛， *** 作简单快捷，仅需分钟级就能搭建起迁移任务，让整个环境搭建“高效快速”，为企业上云保驾护航，再无安全之忧。

伴随数据价值的不断提升，作为海量数据的载体，数据库所需面对的安全隐患和风险也水涨船高，但无论是DBA还是云服务厂商都应该树立良好的安全意识，才能更好的保障数据库安全。华为云数据库将持续满足不同数据库的安全防护需求，为数据库及数据安全建设发展提供有力支撑，让用户对数据使用更自由、更安全！

像是被攻击了，有的是数据库挂马，是隐藏的那种，根本看不出来，只有进服务器数据抓包才能看的到挂马，或者是那种搜索引擎收录型的木马。看下自己网站的收录以及百度快照，有无增加许多无关内容的快照。也可以通过安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业。

无论如何，数据泄露总是破坏性的;但更糟的是，要怎么向受影响的用户、投资人和证监会交代呢一家公司上千万用户的个人数据，总不会自己长脚跑到黑市上躺着被卖吧于是，在各种监管机构找上门来问一些很难堪的问题之前，北大青鸟带大家还是来看看这几个最常见的数据库安全漏洞吧。

数据库安全重要性上升

只要存储了任何人士的任意个人数据，无论是用户还是公司员工，数据库安全都是重中之重。然而，随着黑市对数据需求的上升，成功数据泄露利润的上涨，数据库安全解决方案也就变得比以往更为重要了。尤其是考虑到2016年堪称创纪录的数据泄露年的情况下。

身份盗窃资源中心的数据显示，美国2016年的数据泄露事件比上一年增长了40%，高达1,093起。商业领域是重灾区，紧随其后的是医疗保健行业。政府和教育机构也是常见目标。

常见数据库漏洞

1部署问题

这就是数据库安全版的博尔特一蹬出起跑器就被鞋带绊倒。数据库经过广泛测试以确保能胜任应该做的所有工作，但有几家公司肯花时间保证数据库不干点儿什么不应该干的事儿呢

解决办法：这个问题的解决办法十分明显：部署前做更多的测试，找出可被攻击者利用的非预期 *** 作。

2离线服务器数据泄露

公司数据库可能会托管在不接入互联网的服务器上，但这并不意味着对基于互联网的威胁完全免疫。无论有没有互联网连接，数据库都有可供黑客切入的网络接口。

解决办法：首先，将数据库服务器当成联网服务器一样看待，做好相应的安全防护。其次，用SSL或TSL加密通信平台加密其上数据。

3错误配置的数据库

有太多太多的数据库都是被老旧未补的漏洞或默认账户配置参数出卖的。个中原因可能是管理员手头工作太多忙不过来，或者因为业务关键系统实在承受不住停机检查数据库的损失。无论原因为何，结果就是这么令人唏嘘。

解决办法：在整个公司中树立起数据库安全是首要任务的氛围，让数据库管理员有底气去花时间恰当配置和修复数据库。

4SQL注入

SQL注入不仅仅是最常见的数据库漏洞，还是开放网页应用安全计划(OWASP)应用安全威胁列表上的头号威胁。该漏洞可使攻击者将SQL查询注入到数据库中，达成读取敏感数据、修改数据、执行管理 *** 作乃至向 *** 作系统发出指令等目的。

解决办法：开发过程中，对输入变量进行SQL注入测试。开发完成后，用防火墙保护好面向Web的数据库。

一、信息加密与隐私保护

在很多信息管理软件中会应用哈希(Hash)和加密(Encrypt)进行数据保护，哈希是将目标对象转换成具有相同长度的、不可逆的杂凑字符串(或叫作信息摘要)，而加密是将目标文本转换成具有相同长度的，可逆的密文。在被保护数据仅仅用作比较验证，以后不需要还原为明文形式时使用哈希，如果被保护数据在以后需要被还原为明文时，则使用加密。

这两种方法均可以保证在数据库被非法访问的情况下，隐私或敏感数据不被非法访问者直接获取，比如数据库管理员的口令在经过哈希或加密后，使入侵者无法获得口令明文，也无法拥有对数据库数据的查看权限。

二、标识隐私匿名保护

标识匿名隐私保护，主要都是采取在保证数据有效性的前提下损失一些数据属性，来保证数据的安全性，通常采用概化和有损连接的方式，同传统泛化/隐匿方法相比，其在信息损失量和时间效率上具有明显的优势，在数据发布中删除部分身份标识信息，然后对准标识数据进行处理，当然任何基于隐私保护的数据发布方法都会有不同程度的损失，对于发布后的重构数据不可能，也不应该恢复到原始数据，所以未来在兼顾可用性与安全性的前提下，需要一种新的算法来找到可用与安全的折中点。

三、数据的分级保护制度

不同的信息在隐私保护中具有不同的权重，如果对所有信息都采用高级别的保护，会影响实际运作的效率，同时也是对资源的浪费，但如果只对核心信息进行保护也会通过关联产生隐私泄露的隐患，所以需要建立一套数据的分级制度，针对不同级别的信息采用不同的保护措施，但是在不同行业中，由于涉及不同系统和运作方式，制定一套完善的分级制度还涉及以下的访问权限控制问题。

四、基于访问控制的隐私保护

系统中往往参与的人员节点越多，导致潜在泄露的点也越多，访问控制技术可以对不同人员设置不同权限来限制其访问的内容，这其实也包括上面提到的数据分级问题，目前大部分的访问控制技术均是基于角色的访问控制，能很好地控制角色能够访问的内容及相应 *** 作，但是规则的设置与权限的分级实现起来比较复杂，无法通过统一的规则设置来进行统一的授权，许多情况下需要对特定行业角色的特殊情况进行单独设置，不便于整体管理和调整。需要进一步对规则在各行业的标准体系进行深入研究。

职责所在，不邀自来。

首先感谢楼上的回到，真的很详实，接下来，我从三个方面讲一讲该如何做才能最大程度（没有百分百）的不出现数据库被盗的悲剧。

第一点也是最重要的一点，是保证应用程序的安全，保证黑客不能通过XSS、SQL注入、命令执行等等一系列的攻击手段把数据库盗走。

把数据库盗走的方式很多，比如入侵了数据库所在的服务器，把数据库文件直接复制走。把数据库的备份偷走。利用SQL注入把整个数据库的所有表全部偷走。针对以上种种，有哪些防范措施呢？权限控制，账号体系。比如应用程序不能通过root账号启动、更改数据库的默认账号，这些小技巧，在关键时候，就能阻止黑客的进一步入侵。所以，安全一定不能马虎大意，要防微杜渐。不然，很容易就“千里之堤毁于蚁穴”。

第二就是楼上所讲在数据库存储阶段的各种手法。这个是在数据库文件万一被黑客盗走，也能保证数据本身的不被泄漏。尤其是账号密码的安全。明文存储肯定是会出大事的（CSDN）；MD5，随着彩虹表和计算机计算能力的越来越强大，也变得岌岌可危。“加盐”是个很好的方法，但是也要保证“盐”本身足够随机和不可推测，不然，被黑客找到规律，瞬间所有密码就保不住了。行业里就曾经发生过加盐算法是用户名的md5值，结果很快就被破解了。我们采取任何一种防御方法，都要明白它的原理和局限性，这样才能更好的发挥作用，而不受制于它。

第三点，必要的安全检测手段和防御机制。比如在系统预留一个伪装的管理员帐号，哪天这个账号被人登录了，那么一定就是出事了。现在的“社工库”强大到无法想像，好多大公司，尽管自身安全到位了，但还是躲不过“撞库”攻击。所以，在做到前面两点的同时，安全检测的手段也要加强，能够快速的识别账号系统的异常，就能把一个或刻意或随机的安全攻击消灭于萌芽。

以上，肯定还是不全面的，欢迎各位同仁一起讨论。

湖北有一位大学生化身黑客入侵电商平台，隔空盗走73万，最终被刑事拘留。由于涉案较大，坐牢必不可少，能够有如此聪明才智钻网络漏洞，获取73万元金额，证明智商比较高，可是却没有用在点子上，不免让人感到可惜。电商平台老板对网络安全防护没有意识，在创建平台之时，就没有做出相应的系统来应对这一情况，才让对方有了可乘之机。还好老板的钱最后被追回来，挽回了损失，那么让我们具体了解一下吧！

一，湖北大学生化身黑客入侵电商平台，隔空盗走73万

这位大学生和其他两个同学一起合伙做的坏事，他们也有一定的自我保护意识。在盗走73万之后，还刻意把记录全部都进行了删除，为了把这些钱挥霍一空，还请专业团队来帮忙洗钱，天网恢恢疏而不漏。即使做的再完美也会有蛛丝马迹，相关工作人员根据留下的电子记录进行反复的筛查，才最终把嫌疑人锁定，并且到福建把这几位大学生给抓获了。当得知身份是学生之时，相关工作人员也感到吃惊。

二，最终得到了什么处罚？

他们已经被刑事拘留了，触犯了盗窃罪，并且非法使用电脑。电商平台老板也比较无辜，也是属于创业者，在电商平台上投入了不少心血，本身在账上有73万，结果一查账号上竟然就只剩只有0元。如果想要在电商行业创业的，老板们也要提高警惕，需要防护的软件必不可少，否则平台就像无人值守的金山。有些事情确实很赚钱，触犯法律的事千万不可以碰。

总之，本身有着大好前途，可是这几位学生却因为一时的鬼迷心窍，而把自己送上了犯罪之路，人生从此留下污点。

以上就是关于又一数据库高危漏洞爆出，数据安全如何有效保障全部的内容，包括:又一数据库高危漏洞爆出，数据安全如何有效保障、网站数据库里多出莫名其妙的表和数据，是不是被攻击了、最常见的数据库安全漏洞等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！