黑客利用微軟SQL Server各種漏洞發(fā)動(dòng)網(wǎng)絡(luò)攻擊,，其中又以SQL Injection最為常見(jiàn),。為了遏止相關(guān)網(wǎng)絡(luò)攻擊再惡化，美國(guó)網(wǎng)絡(luò)犯罪申訴中心提出12點(diǎn)網(wǎng)絡(luò)攻擊預(yù)防措施,。

美國(guó)FBI網(wǎng)絡(luò)犯罪中心（IC3）日前指出,，利用微軟SQL Server的漏洞，植入各種后門程序以取得有效使用者存取數(shù)據(jù)庫(kù)權(quán)限,，是目前黑客最常使用的攻擊手法之一,。對(duì)此，F(xiàn)BI IC3提出12種基本的預(yù)防之道,。

首先,，對(duì)于常見(jiàn)SQL Injection或微軟SQL Server漏洞，F(xiàn)BI IC3認(rèn)為,，數(shù)據(jù)庫(kù)管理人員應(yīng)該關(guān)閉有傷害性的SQL Stored Procedure呼叫,，例如最常見(jiàn)的xp_cmdshell可允許存取本地端的程序，就是一種安全性的隱憂,。FBI IC3提醒,，要關(guān)閉這類有害的Stored Procedure，除了關(guān)閉呼叫功能,，更需移除相關(guān)dll檔.

其次,，F(xiàn)BI IC3建議,，網(wǎng)站服務(wù)器（例如微軟的IIS）應(yīng)該過(guò)濾掉過(guò)長(zhǎng)的網(wǎng)址,。IT人員可以找出網(wǎng)絡(luò)服務(wù)所使用的最長(zhǎng)網(wǎng)址長(zhǎng)度，藉由限制過(guò)長(zhǎng)網(wǎng)址可避免黑客在網(wǎng)址中隱含惡意網(wǎng)址或參數(shù)字符串,。再者,，對(duì)于目前許多動(dòng)態(tài)網(wǎng)頁(yè)內(nèi)容安全性的保護(hù)，F(xiàn)BI IC3認(rèn)為網(wǎng)絡(luò)管理員應(yīng)該要做到過(guò)濾字符串和只傳參數(shù),，把程序的控制指令替代成字符串,，不會(huì)對(duì)SQL指令造成影響，但又能在瀏覽器正確顯示,。

許多IT人員習(xí)慣以最高管理者權(quán)限執(zhí)行安裝各種服務(wù),，這也意味著一旦這個(gè)最高管理者權(quán)限被竊，整個(gè)服務(wù)器和數(shù)據(jù)庫(kù)的安全性將岌岌可危,。所以,，F(xiàn)BI IC3建議不要使用最高權(quán)限安裝微軟的SQL Server和IIS網(wǎng)站服務(wù)器，只安裝所需的程序，例如AD服務(wù)器就不需要安裝Microsoft Office,，對(duì)網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)使用者,，只提供最小權(quán)限。

提供密碼保護(hù)是保護(hù)管理者賬號(hào)的基本作為,，但FBI IC3發(fā)現(xiàn),，有很多企業(yè)IT管理人員經(jīng)常采用SQL Server預(yù)設(shè)SA管理者賬號(hào)和預(yù)設(shè)空白密碼，這些都是安全上的一大隱憂,。此外,，對(duì)于主機(jī)登入密碼多次輸入錯(cuò)誤，應(yīng)暫時(shí)封鎖并做檢查,，F(xiàn)BI IC3認(rèn)為這是對(duì)黑客入侵的初次檢驗(yàn),。

FBI IC3認(rèn)為，所有企業(yè)內(nèi)的服務(wù)器都應(yīng)該禁止直接連網(wǎng),，所有的連網(wǎng)都應(yīng)該透過(guò)代理服務(wù)器（Proxy）對(duì)外聯(lián)機(jī),，才能夠檢查聯(lián)機(jī)內(nèi)容和聯(lián)機(jī)埠。FBI IC3也提醒,，對(duì)于一些會(huì)產(chǎn)生驗(yàn)證密鑰（例如PIN碼）的HSM（硬件加密模塊）,，應(yīng)該限制其它指令不可以產(chǎn)生這種加密的PIN碼，避免讓黑客可以取得足夠的樣本,，藉此反推加密算法以保護(hù)加密算法,。

FBI IC3建議，企業(yè)IT人員對(duì)于數(shù)據(jù)庫(kù)的管理往往較為松散,，不論是存取數(shù)據(jù)庫(kù)的黑白名單，或制定更謹(jǐn)慎的信息安全管理規(guī)則,，都是讓數(shù)據(jù)庫(kù)更安全的手法之一,。最后，F(xiàn)BI IC3也提醒,，企業(yè)內(nèi)IT人員應(yīng)該要在防火墻定期更新已知的惡意網(wǎng)址或IP地址,，檢驗(yàn)企業(yè)內(nèi)是否有連結(jié)這些惡意網(wǎng)絡(luò)地址的記錄，實(shí)時(shí)掌握企業(yè)內(nèi)資安動(dòng)態(tài),。

美國(guó)FBI IC3的12條預(yù)防網(wǎng)絡(luò)攻擊的方法：

1. 關(guān)閉微軟SQL Server有害的StoredProcedure呼叫,，并移除相關(guān)。dll文件,。

2. 限制過(guò)長(zhǎng)的網(wǎng)址,，降低過(guò)長(zhǎng)網(wǎng)址隱藏惡意網(wǎng)址或參數(shù)字符串。

3. 以過(guò)濾字符串和只傳參數(shù)方式,，確保動(dòng)態(tài)網(wǎng)頁(yè)內(nèi)容的安全,。

4. 不要用最高權(quán)限安裝微軟SQL Server和IIS網(wǎng)絡(luò)服務(wù)器。

5. 對(duì)所有SQL數(shù)據(jù)庫(kù)的訪問(wèn)者,，提供最小的訪問(wèn)權(quán)限。

6. 避免使用SQL Server預(yù)設(shè)的SA管理員賬號(hào)和空白密碼,，實(shí)施密碼管制。

7. 主機(jī)登入密碼多次輸入錯(cuò)誤時(shí),，應(yīng)該暫時(shí)封鎖該賬號(hào)并進(jìn)行檢查。

8. 需要什么樣的服務(wù),，只要安裝服務(wù)所需要的程序即可。

9. 企業(yè)內(nèi)的服務(wù)器都應(yīng)該通過(guò)代理服務(wù)器與外界進(jìn)行聯(lián)系,。

10. 管理企業(yè)內(nèi)部的數(shù)據(jù)庫(kù)訪問(wèn)，設(shè)置相關(guān)的數(shù)據(jù)安全訪問(wèn)策略,。

11. 防火墻應(yīng)該定期 各種已知惡意IP地址和,。

12. 避免HSM等會(huì)生成驗(yàn)證密鑰的設(shè)備。若能以其他程序輕易產(chǎn)生密鑰,，就會(huì)讓黑客有機(jī)會(huì)回推演算方法,。