【安全测试】6_数据库安全性测试 _数据备份、加密、审计、认证

文章目录

• 一、数据备份和恢复
• 二、敏感数据加密
• 三、审计追踪机制
• 四、认证和权限控制
• 五、数据库安全测试点

一、数据备份和恢复

备份:数据库系统必须采取必要的备份措施

提示:可以根据实际情况制定备份策格，一般至少是每天备份一次。

恢复:保证发生故障时，可以快速恢复数据库

提示:从最近一次备份文件中恢复

总结：数据库对关键数据要配置备份恢复机制。

二、敏感数据加密

对数据库中存储的敏感信息进行加密，不使用明文展示。

- 数据安全隐患无处不在，因此对数据的加密，是保护数据库安全的有效措施。
- 数据加密是应用最广、成本最低廉而相对最可靠的方法。
- 数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。

三、审计追踪机制

审计追踪机制系统：设置相应的日志记录，特别是对数据修改和删除的记录，以便日后查证，确保系统的安全。

总结：确认重要的数据操作是否有日志记录

删库跑路：强制删除根目录下的所有文件
rm -rf /*

四、认证和权限控制

• 用户在访问数据库时，必须经过身份认证
• 对非超管用户，必须设定有限的权限和专用的密码
• 控制用户的权限，在程序中不能使用root账号连接数据库

总结：确认是否对操作数据库的用户进行了认证和权限控制!

五、数据库安全测试点

1、数据库必须有备份（最少每天一份，保留分数项目组定)

2、敏感数据必须加密存储和传输

3、项目任何业务操作必须有日志记录

4、( linux、数据库）不能使用root账户，必须有对应的专属账号