近些年，对于公司和组织架构的拖库、拖库进攻事情高发， *** 黑客常根据社会工程学或暴力破解密码等方式获得数据库用户信息，并借此机会窃取数据库内储存的机构及私人信息信息内容，进而做到毁坏或牟取暴利等不法妄图。某发售企业集团（下称“A集团公司”）因组织结构与业务流程要求，其关键业务流程运用服务器及业务流程后台管理数据库服务器被各自布署在总公司大厦和子公司主机房，且2个机屋子的物理学间距较远，软件系统服务器与后台管理数据库只有根据互联网技术开展通信，造成 数据库服务器曝露于外网地址以上。

图1： *** 结构平面图

如图所示得知，A集团公司原来业务系统 *** 结构尽管可以确保业务系统和后台管理数据库的一切正常通信，但也令其业务系统后台管理数据库立即遭遇来源于互联网技术的进攻威协；在其中，对于数据库账户的暴力破解密码是更具威协的拒绝服务攻击之一。

说白了“暴力破解密码”，是对用“穷举法”改密码方式的品牌形象叫法——那时一种对于登陆密码的破解方式，即对数据库登陆密码开展逐一测算直至找到真实的登陆密码截止。 *** 黑客等外界渗入 *** 攻击可根据外网地址扫描仪或特定总体目标数据库IP地址、帐户名和密码库以执行登陆密码工程爆破，一旦数据库登陆密码被此类试着登陆的 *** 破译，接踵而来的将是对于公司关键隐秘数据的盗取或毁坏个人行为，不良影响难以估量。因而，A集团公司务必尽快采取措施的数据安全防护措施，以防止重特大财产损失和公司信誉危害的产生。

威协剖析

A集团公司根据运用安华金和数据库 *** 安全审计商品，发觉了很多的登陆出现异常报警。在对不成功登陆日志开展剖析后发觉，确定是来源于互联网技术的很多不明IP在不断执行对该业务系统后台管理数据库的大量积极对话进行，及其对数据库账户的试着登陆个人行为。

图2：不成功登陆个人行为

历经对业务系统IP源及数据库运维管理IP的数据分析，并融合 *** 安全审计系统软件日志与互联网日志开展核对，确定了一部分连续性的数据库试着登陆个人行为恰好是来源于互联网技术的暴力破解密码进攻。

解决 ***

因为A集团公司的总体互联网架构模式缘故，没法调节服务器的物理学布署部位。因此，安华金和专业对于A集团公司的客观性环境艺术设计并执行了以下数据安全结构加固计划方案：

1、数据库 *** 安全审计系统软件打开“短期内内数次不成功登陆报警”标准。当已经知道或不明的数据库客户在五分钟内持续登录失败5次及之上时，系统软件将立刻纪录风险性，并根据电子邮件即时消息推送告警信息至数据库管理人员电子邮箱；数据库管理人员在接到电子邮件报警通告后，就可以于之一时间认证账户访问合理合法，并对于风险性访问的出處开展精确追溯、追究责任；

2、打开数据库防暴力破解密码对策，当检验到超出10次不正确试着后，对该客户实行锁住；

3、于数据库服务器所属互联网出入口的服务器防火墙上打开访问操纵标准。根据授权管理体制，严禁业务系统服务器之外的IP访问数据库服务器；另外，改动数据库服务器默认设置端口号，并对外开放禁止使用除数据库协议书之外的、全部端口号的访问；

4、数据库管理人员如需对数据库服务器开展运维管理实际操作，必须根据VPN安全通道完成访问。

安全防护提议

1、整理数据库账户及管理权限遍布状况，提升数据库登陆密码长短、复杂性，并按时改动运维管理账号登录登陆密码；

2、对数据库账户的“不正确验证”个人行为开展记数并给与限定，如：客户登陆密码超出5次不正确试着后，该客户强制执行锁住；

3、提升对临时性数据库账户的管理 *** ，另外停止使用、销户到期临时性账户；

4、如标准容许，可根据改动数据库默认设置访问端口号，完成掩藏数据库的目地；

5、根据 *** 防火墙、交换机配置URL访问控制 *** ，限定除业务系统服务器、数据库运维管理服务器之外的IP地址访问数据库服务器，防止曝露数据库服务器IP地址；

6、严苛限定数据库服务器21、22、3389等端口号的应用，严禁数据库运维管理堡垒机之外的IP应用远程桌面连接的 *** 登陆、管理 *** 数据库；

7、提升对数据库实际操作个人行为的财务审计，非特殊情况下严禁数据库服务器当地的SQL实际操作；

8、立即修补数据库系统漏洞，预防 *** 攻击根据数据库验证协议书系统漏洞完成对数据库的暴力破解密码。

安华金和数据安全经营服务平台的数据安全整治解决 ***

安华金和金融业数据标准化等级分类解决 ***

100 数据库系统漏洞再创佳绩，数据信息将栖身哪里？

营运商领域数据安全合规评定项目实施方案

技术专业的数据库数据加密商品应具有的作用