一:保證客戶端密碼安全
1. 通過dll/so/dylib對密碼加密也就是說客戶鏈接1433端口的密碼并不是實際密碼���,提升破解成本;
2. 增大密碼復(fù)雜度防止猜解���;
3. 增加密碼錯誤次數(shù),如超過則鎖定ip����;
4. 使用動態(tài)密碼通過一定算法獲取����;
二:服務(wù)(器)層防御
5. 修改默認端口,增加入侵成本�����;
6. 防火墻策略白名單限制防止其他ip攻擊�;
7. 服務(wù)器口令與數(shù)據(jù)庫口令不要設(shè)置一樣�����,增加侵入者入侵服務(wù)器的成本�����;
三:保證數(shù)據(jù)安全
8. 給內(nèi)網(wǎng)客戶使用的數(shù)據(jù)庫用戶權(quán)限盡可能??�;
9. 數(shù)據(jù)庫做好日志記錄以及定期備份�,被刪等意外情況下緊急恢復(fù)
10. 對數(shù)據(jù)操作進行審計,發(fā)現(xiàn)異常操作進行告警���,及早干預(yù)防止損失擴大
以措施基本是用來增加入侵成本的���。最佳方式就是實時風控和審計,發(fā)現(xiàn)異常請求立即終止�,但此類成本較高。
對于內(nèi)網(wǎng)用戶從成本和難度方面考慮除了審計/風控外其他都可以
贊同0
評論0
加載中...
