{eval=Array;=+count(Array);}
感謝邀請!
這種問題,個人給你的建議是:
1.如果你懂IPSEC來做一下端口限制,比如只允許訪問服務器指定的1433端口,以及軟件必須的端口和你遠程的端口外,其他都不允許訪問。
2.使用的SQL版本盡量打上所有安全補丁,同時SA密碼盡量復雜化,大小寫字母加數字全用上,再一個SQL的GUEST客戶訪問權限也要設置好,不要給他多權限,除了基本的讀取和寫入就不要再給了。
3.如果客戶端訪問是固定IP,可以ipsec,只允許這個IP訪問,這樣效果是最好的。
4.如果有軟件允許還可以云服務器架設VPN服務器來進行訪問這種就更安全了。
3.
云服務器開端口給“非公網用戶”訪問?“非公網用戶”是什么用戶?你的“云服務器”是“公有云”還是“私有云”?“非公網用戶”是怎么訪問的?需要什么級別的權限?是全數據庫服務器的訪問?特定數據庫的訪問?特定表的訪問?特定字段的訪問?增、刪、改、查全要有?還是部分?你為什么不能把他要的數據推送過去?為什么非要他進來訪問呢?
方案有幾種,對于公網,首先修改默認端口,越不常用越好,然后設置防火墻該端口僅限某些ip訪問,某些域名解析平臺是可以針對某些區域解析出指定的IP,可以用來保護數據庫服務器的真實IP
一:保證客戶端密碼安全
1. 通過dll/so/dylib對密碼加密也就是說客戶鏈接1433端口的密碼并不是實際密碼,提升破解成本;
2. 增大密碼復雜度防止猜解;
3. 增加密碼錯誤次數,如超過則鎖定ip;
4. 使用動態密碼通過一定算法獲取;
二:服務(器)層防御
5. 修改默認端口,增加入侵成本;
6. 防火墻策略白名單限制防止其他ip攻擊;
7. 服務器口令與數據庫口令不要設置一樣,增加侵入者入侵服務器的成本;
三:保證數據安全
8. 給內網客戶使用的數據庫用戶權限盡可能小;
9. 數據庫做好日志記錄以及定期備份,被刪等意外情況下緊急恢復
10. 對數據操作進行審計,發現異常操作進行告警,及早干預防止損失擴大
以措施基本是用來增加入侵成本的。最佳方式就是實時風控和審計,發現異常請求立即終止,但此類成本較高。
對于內網用戶從成本和難度方面考慮除了審計/風控外其他都可以
0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答