每次黃金假期到來(lái)之前，網(wǎng)上商務(wù)交易總量都會(huì)達(dá)到歷史新高。你今年是不是也在網(wǎng)上為家人朋友購(gòu)買(mǎi)禮物了呢?如果是的話，不知道你有沒(méi)有停下來(lái)考慮過(guò)網(wǎng)上購(gòu)物的時(shí)候自己的信用卡信息到底是到哪里去了?當(dāng)然，你的瀏覽器窗口底下是有個(gè)似乎讓人放心的鎖狀圖標(biāo)，但是這樣真的可以高枕無(wú)憂了嗎?

　　其實(shí)不盡然。這個(gè)鎖的圖標(biāo)只能說(shuō)明你的信用卡卡號(hào)在傳送到網(wǎng)絡(luò)上前被加密，然后到達(dá)目的地后會(huì)被解密。店主或賣(mài)主一般都會(huì)把你的信用卡卡號(hào)存儲(chǔ)在訂單處理數(shù)據(jù)庫(kù)里——有時(shí)候他們并不會(huì)設(shè)置何時(shí)的加密措施或者其他安全保密措施。

　　前些時(shí)候國(guó)外有一名匿名黑客使用Maxus的假名在他自己的網(wǎng)站上發(fā)表了下面這條信息：

　　“嗨，我名字叫Maxus，我可以為您提供一個(gè)信用卡接口。您只要點(diǎn)擊下面這個(gè)按鈕，就可以直接從最大的網(wǎng)上商店數(shù)據(jù)庫(kù)里得到一個(gè)真的信用卡。我不是開(kāi)玩笑的。”

　　他確實(shí)沒(méi)有開(kāi)玩笑。所有點(diǎn)擊了他的網(wǎng)頁(yè)中間那個(gè)大按鈕的用戶都接收到了一個(gè)隨機(jī)抽取的信用卡詳細(xì)信息——詳細(xì)到足夠讓你去購(gòu)物。雖然網(wǎng)絡(luò)服務(wù)供應(yīng)商和執(zhí)法部門(mén)很快地把Maxus的網(wǎng)站封閉了，但是用戶還可以查看到這個(gè)網(wǎng)站的鏡象。

　　在MSNBC的一次采訪中，Maxus聲稱(chēng)自己從CreditCards.com數(shù)據(jù)庫(kù)里竊取了超過(guò)55000條個(gè)人信用卡記錄。CreditCards.com是一個(gè)服務(wù)于上百個(gè)電子商務(wù)網(wǎng)站的信用卡處理器。這并不是他的第一次。警方懷疑Maxus是前蘇聯(lián)一個(gè)四人黑客團(tuán)伙的一員。

　　不幸的是，CreditCards.com事件只是連串網(wǎng)上數(shù)據(jù)庫(kù)攻擊事件中的最近的一件而已。2000年一月份，一群黑客利用微軟SQL Server數(shù)據(jù)庫(kù)產(chǎn)品的一個(gè)漏洞協(xié)助MSNBC記者從另一個(gè)電子商務(wù)網(wǎng)站上檢索到2500條信用卡記錄。九個(gè)月后，英國(guó)一名反對(duì)征收高燃油稅的黑客用同樣的方法洗劫了168個(gè)企業(yè)網(wǎng)站。

　　數(shù)據(jù)庫(kù)安全隱患-攻擊

　　這些攻擊都是怎么樣發(fā)生的?發(fā)出這些攻擊的黑客都是利用了一些安全性不夠強(qiáng)的數(shù)據(jù)庫(kù)服務(wù)器那些“閃閃發(fā)光”的漏洞。這些數(shù)據(jù)庫(kù)服務(wù)器把自己的大門(mén)敞開(kāi)，讓?xiě)延袗阂獾娜穗S意玩弄。

　　微軟的SQL Server數(shù)據(jù)庫(kù)產(chǎn)品因?yàn)榕c微軟的Internet Information Server網(wǎng)絡(luò)服務(wù)器緊密結(jié)合而受到電子商務(wù)開(kāi)發(fā)員的廣泛歡迎。但是，這樣簡(jiǎn)單容易的整合往往讓開(kāi)發(fā)員不經(jīng)過(guò)必須的培訓(xùn)就嘗試進(jìn)行復(fù)雜重要的項(xiàng)目。

　　在安裝過(guò)程中，SQL Server提示用戶創(chuàng)建一個(gè)系統(tǒng)管理員(或“sa”)帳戶，該帳戶擁有數(shù)據(jù)庫(kù)的完全訪問(wèn)權(quán)限。在舊版本的SQL Server里，如果在安裝程序的時(shí)候快速地一路點(diǎn)擊過(guò)去而不加注意，很容易就會(huì)創(chuàng)建沒(méi)有任何的密碼保護(hù)的擁有完全訪問(wèn)權(quán)限的管理員帳戶!SQL Server2000發(fā)行以后，微軟特別在安裝屏里添加了一個(gè)check box，要求管理員手動(dòng)確認(rèn)創(chuàng)建無(wú)密碼保護(hù)的管理員帳號(hào)的安全風(fēng)險(xiǎn)。

SQL Server 2000 Installation

　　不幸的是，仍然有很多網(wǎng)站在使用舊版本的SQL Server，而且黑客們都很清楚這個(gè)事實(shí)，要利用這個(gè)漏洞對(duì)他們來(lái)說(shuō)簡(jiǎn)直輕而易舉。如果沒(méi)有防火墻，黑客只需要在自己的電腦上打開(kāi)SQL Server客戶軟件，然后輸入數(shù)據(jù)庫(kù)服務(wù)器的地址(通常跟網(wǎng)站URL一樣)。如果默認(rèn)值還在，黑客馬上就可以獲得數(shù)據(jù)庫(kù)的完全訪問(wèn)權(quán)，可以任意查看、修改或者刪除里面的數(shù)據(jù)信息。

　　數(shù)據(jù)庫(kù)安全隱患

　　補(bǔ)救辦法

　　如果你已經(jīng)認(rèn)識(shí)到了數(shù)據(jù)庫(kù)安全問(wèn)題的重要性，也許你就該問(wèn)怎么做才可以保護(hù)企業(yè)的數(shù)據(jù)庫(kù)不淪為Maxus或其他黑客的下一個(gè)攻擊目標(biāo)呢?其實(shí)只要花上一兩個(gè)小時(shí)把企業(yè)加強(qiáng)數(shù)據(jù)庫(kù)的安全控制就能夠把可能會(huì)造成災(zāi)難性結(jié)果的黑客攻擊扼殺于襁褓之中。

　　如果你運(yùn)行的是微軟SQL Server，這個(gè)時(shí)候最重要的任務(wù)就是要確保你的“sa”帳戶(當(dāng)然還有其他的帳戶!)要有一個(gè)安全性強(qiáng)大的密碼來(lái)保護(hù)。只需要打開(kāi)Enterprise Manager，找到你所連接的數(shù)據(jù)庫(kù)的“Logins”選項(xiàng)。點(diǎn)擊“sa”帳戶后會(huì)出現(xiàn)以下窗口：

SQL Server Account Properties Screen

　　如果沒(méi)有設(shè)置密碼(如上圖中紅色圈中部分)，你的數(shù)據(jù)庫(kù)就是出于完全開(kāi)放的狀態(tài)!任何一個(gè)可以使用你的電腦的用戶只需要使用默認(rèn)登錄參數(shù)就可以任意訪問(wèn)你的數(shù)據(jù)庫(kù)。鍵入密碼，為“sa”帳戶設(shè)置安全性強(qiáng)的密碼。同樣的方法為你的其他帳戶和數(shù)據(jù)庫(kù)加強(qiáng)安全控制。

　　下一步是看看你數(shù)據(jù)庫(kù)服務(wù)器主機(jī)里所運(yùn)行的服務(wù)是不是都是必需的。如果你發(fā)現(xiàn)機(jī)器里運(yùn)行著無(wú)關(guān)緊要的程序，就把它們卸除掉。它們只會(huì)給你的服務(wù)器添加不必要的麻煩，還可能會(huì)造成系統(tǒng)安全性漏洞。

　　保證數(shù)據(jù)庫(kù)安全性是每一個(gè)數(shù)據(jù)庫(kù)管理員的職責(zé)，因此一定不能疏忽大意，才能保證企業(yè)組織的聲譽(yù)。