阿摩線上測驗
23. 要管理好資料庫系統,除了對資料庫系統有深度認知之外,仍需要了解資料庫系統所面臨的安全威脅。下列何項較「不」屬於資料庫系統所面臨的安全威脅?
(A) 資料庫內資料外洩
(B) 資料庫內的資料遭非法篡改與偽造
(C) 資料庫推論(Database Inference)
(D) 資料庫管理人員不具有作業系統操作認證
答案:登入後查看
統計: A(3), B(7), C(344), D(580), E(0) #3351125
統計: A(3), B(7), C(344), D(580), E(0) #3351125
詳解 (共 2 筆)
cherry
#7376471
為什麼答案是 (D)?
題目問的是哪一個較「不」屬於資料庫系統本身所面臨的安全威脅。
• (D) 的本質:資料庫管理人員(DBA)沒拿到作業系統(OS)的證照,這屬於人員資格、資歷或內部管理的問題,並不是一種「正在對資料庫系統造成危害或潛在漏洞的技術性/管理性安全威脅」。就算沒有證照,只要他依循正確的權限與規範操作,資料庫系統本身並不會因此直接遭受安全侵害。
選項詳細分析與觀念澄清
(A) 資料庫內資料外洩
• 說明:這是最直接的資料庫安全威脅(機密性被破壞)。例如因為 SQL 注入(SQL Injection)或權限設定不當,導致敏感資料被攻擊者竊取。
(B) 資料庫內的資料遭非法篡改與偽造
• 說明:這破壞了資料的「完整性」。攻擊者或未授權內部人員擅自修改資料庫裡的帳目、使用者資料等,屬於嚴重的安全威脅。
(C) 資料庫推論 (Database Inference) ? 核心盲點
• 說明:這是一個非常經典且高階的資料庫安全威脅! * 原理:使用者雖然沒有直接查詢敏感資料的權限,但他們可以透過多次查詢「非敏感(或統計類)的資料」,並利用邏輯推理、交叉比對,最終推論出低權限下不該知道的敏感資訊。
• 舉例:假設你沒有權限查看總經理的薪水,但你有權限查詢「行銷部所有員工的薪水總和」以及「行銷部除了總經理以外所有員工的薪水總和」。你只要把兩個數字相減,就能「推論」出總經理的薪水。這就是資料庫推論威脅(常見於多級安全資料庫或統計資料庫中)。
0
0
