每次黃金假期到來之前，網(wǎng)上商務交易總量都會達到歷史新高。你今年是不是也在網(wǎng)上為家人朋友購買禮物了呢?如果是的話，不知道你有沒有停下來考慮過網(wǎng)上購物的時候自己的信用卡信息到底是到哪里去了?當然，你的瀏覽器窗口底下是有個似乎讓人放心的鎖狀圖標，但是這樣真的可以高枕無憂了嗎?

　　其實不盡然。這個鎖的圖標只能說明你的信用卡卡號在傳送到網(wǎng)絡上前被加密，然后到達目的地后會被解密。店主或賣主一般都會把你的信用卡卡號存儲在訂單處理數(shù)據(jù)庫里——有時候他們并不會設置何時的加密措施或者其他安全保密措施。

　　前些時候國外有一名匿名黑客使用Maxus的假名在他自己的網(wǎng)站上發(fā)表了下面這條信息：

　　“嗨，我名字叫Maxus，我可以為您提供一個信用卡接口。您只要點擊下面這個按鈕，就可以直接從最大的網(wǎng)上商店數(shù)據(jù)庫里得到一個真的信用卡。我不是開玩笑的。”

　　他確實沒有開玩笑。所有點擊了他的網(wǎng)頁中間那個大按鈕的用戶都接收到了一個隨機抽取的信用卡詳細信息——詳細到足夠讓你去購物。雖然網(wǎng)絡服務供應商和執(zhí)法部門很快地把Maxus的網(wǎng)站封閉了，但是用戶還可以查看到這個網(wǎng)站的鏡象。

　　在MSNBC的一次采訪中，Maxus聲稱自己從CreditCards.com數(shù)據(jù)庫里竊取了超過55000條個人信用卡記錄。CreditCards.com是一個服務于上百個電子商務網(wǎng)站的信用卡處理器。這并不是他的第一次。警方懷疑Maxus是前蘇聯(lián)一個四人黑客團伙的一員。

　　不幸的是，CreditCards.com事件只是連串網(wǎng)上數(shù)據(jù)庫攻擊事件中的最近的一件而已。2000年一月份，一群黑客利用微軟SQL Server數(shù)據(jù)庫產(chǎn)品的一個漏洞協(xié)助MSNBC記者從另一個電子商務網(wǎng)站上檢索到2500條信用卡記錄。九個月后，英國一名反對征收高燃油稅的黑客用同樣的方法洗劫了168個企業(yè)網(wǎng)站。

　　數(shù)據(jù)庫安全隱患-攻擊

　　這些攻擊都是怎么樣發(fā)生的?發(fā)出這些攻擊的黑客都是利用了一些安全性不夠強的數(shù)據(jù)庫服務器那些“閃閃發(fā)光”的漏洞。這些數(shù)據(jù)庫服務器把自己的大門敞開，讓懷有惡意的人隨意玩弄。

　　微軟的SQL Server數(shù)據(jù)庫產(chǎn)品因為與微軟的Internet Information Server網(wǎng)絡服務器緊密結(jié)合而受到電子商務開發(fā)員的廣泛歡迎。但是，這樣簡單容易的整合往往讓開發(fā)員不經(jīng)過必須的培訓就嘗試進行復雜重要的項目。

　　在安裝過程中，SQL Server提示用戶創(chuàng)建一個系統(tǒng)管理員(或“sa”)帳戶，該帳戶擁有數(shù)據(jù)庫的完全訪問權(quán)限。在舊版本的SQL Server里，如果在安裝程序的時候快速地一路點擊過去而不加注意，很容易就會創(chuàng)建沒有任何的密碼保護的擁有完全訪問權(quán)限的管理員帳戶!SQL Server2000發(fā)行以后，微軟特別在安裝屏里添加了一個check box，要求管理員手動確認創(chuàng)建無密碼保護的管理員帳號的安全風險。

SQL Server 2000 Installation

　　不幸的是，仍然有很多網(wǎng)站在使用舊版本的SQL Server，而且黑客們都很清楚這個事實，要利用這個漏洞對他們來說簡直輕而易舉。如果沒有防火墻，黑客只需要在自己的電腦上打開SQL Server客戶軟件，然后輸入數(shù)據(jù)庫服務器的地址(通常跟網(wǎng)站URL一樣)。如果默認值還在，黑客馬上就可以獲得數(shù)據(jù)庫的完全訪問權(quán)，可以任意查看、修改或者刪除里面的數(shù)據(jù)信息。

　　數(shù)據(jù)庫安全隱患

　　補救辦法

　　如果你已經(jīng)認識到了數(shù)據(jù)庫安全問題的重要性，也許你就該問怎么做才可以保護企業(yè)的數(shù)據(jù)庫不淪為Maxus或其他黑客的下一個攻擊目標呢?其實只要花上一兩個小時把企業(yè)加強數(shù)據(jù)庫的安全控制就能夠把可能會造成災難性結(jié)果的黑客攻擊扼殺于襁褓之中。

　　如果你運行的是微軟SQL Server，這個時候最重要的任務就是要確保你的“sa”帳戶(當然還有其他的帳戶!)要有一個安全性強大的密碼來保護。只需要打開Enterprise Manager，找到你所連接的數(shù)據(jù)庫的“Logins”選項。點擊“sa”帳戶后會出現(xiàn)以下窗口：

SQL Server Account Properties Screen

　　如果沒有設置密碼(如上圖中紅色圈中部分)，你的數(shù)據(jù)庫就是出于完全開放的狀態(tài)!任何一個可以使用你的電腦的用戶只需要使用默認登錄參數(shù)就可以任意訪問你的數(shù)據(jù)庫。鍵入密碼，為“sa”帳戶設置安全性強的密碼。同樣的方法為你的其他帳戶和數(shù)據(jù)庫加強安全控制。

　　下一步是看看你數(shù)據(jù)庫服務器主機里所運行的服務是不是都是必需的。如果你發(fā)現(xiàn)機器里運行著無關緊要的程序，就把它們卸除掉。它們只會給你的服務器添加不必要的麻煩，還可能會造成系統(tǒng)安全性漏洞。

　　保證數(shù)據(jù)庫安全性是每一個數(shù)據(jù)庫管理員的職責，因此一定不能疏忽大意，才能保證企業(yè)組織的聲譽。