黑客利用微軟SQL Server各種漏洞發(fā)動(dòng)網(wǎng)絡(luò )攻擊，其中又以SQL Injection最為常見(jiàn)。為了遏止相關(guān)網(wǎng)絡(luò )攻擊再惡化，美國網(wǎng)絡(luò )犯罪申訴中心提出12點(diǎn)網(wǎng)絡(luò )攻擊預防措施。

美國FBI網(wǎng)絡(luò )犯罪中心（IC3）日前指出，利用微軟SQL Server的漏洞，植入各種后門(mén)程序以取得有效使用者存取數據庫權限，是目前黑客最常使用的攻擊手法之一。對此，FBI IC3提出12種基本的預防之道。

首先，對于常見(jiàn)SQL Injection或微軟SQL Server漏洞，FBI IC3認為，數據庫管理人員應該關(guān)閉有傷害性的SQL Stored Procedure呼叫，例如最常見(jiàn)的xp_cmdshell可允許存取本地端的程序，就是一種安全性的隱憂(yōu)。FBI IC3提醒，要關(guān)閉這類(lèi)有害的Stored Procedure，除了關(guān)閉呼叫功能，更需移除相關(guān)dll檔.

其次，FBI IC3建議，網(wǎng)站服務(wù)器（例如微軟的IIS）應該過(guò)濾掉過(guò)長(cháng)的網(wǎng)址。IT人員可以找出網(wǎng)絡(luò )服務(wù)所使用的最長(cháng)網(wǎng)址長(cháng)度，藉由限制過(guò)長(cháng)網(wǎng)址可避免黑客在網(wǎng)址中隱含惡意網(wǎng)址或參數字符串。再者，對于目前許多動(dòng)態(tài)網(wǎng)頁(yè)內容安全性的保護，FBI IC3認為網(wǎng)絡(luò )管理員應該要做到過(guò)濾字符串和只傳參數，把程序的控制指令替代成字符串，不會(huì )對SQL指令造成影響，但又能在瀏覽器正確顯示。

許多IT人員習慣以最高管理者權限執行安裝各種服務(wù)，這也意味著(zhù)一旦這個(gè)最高管理者權限被竊，整個(gè)服務(wù)器和數據庫的安全性將岌岌可危。所以，FBI IC3建議不要使用最高權限安裝微軟的SQL Server和IIS網(wǎng)站服務(wù)器，只安裝所需的程序，例如AD服務(wù)器就不需要安裝Microsoft Office，對網(wǎng)絡(luò )和數據庫使用者，只提供最小權限。

提供密碼保護是保護管理者賬號的基本作為，但FBI IC3發(fā)現，有很多企業(yè)IT管理人員經(jīng)常采用SQL Server預設SA管理者賬號和預設空白密碼，這些都是安全上的一大隱憂(yōu)。此外，對于主機登入密碼多次輸入錯誤，應暫時(shí)封鎖并做檢查，FBI IC3認為這是對黑客入侵的初次檢驗。

FBI IC3認為，所有企業(yè)內的服務(wù)器都應該禁止直接連網(wǎng)，所有的連網(wǎng)都應該透過(guò)代理服務(wù)器（Proxy）對外聯(lián)機，才能夠檢查聯(lián)機內容和聯(lián)機埠。FBI IC3也提醒，對于一些會(huì )產(chǎn)生驗證密鑰（例如PIN碼）的HSM（硬件加密模塊），應該限制其它指令不可以產(chǎn)生這種加密的PIN碼，避免讓黑客可以取得足夠的樣本，藉此反推加密算法以保護加密算法。

FBI IC3建議，企業(yè)IT人員對于數據庫的管理往往較為松散，不論是存取數據庫的黑白名單，或制定更謹慎的信息安全管理規則，都是讓數據庫更安全的手法之一。最后，FBI IC3也提醒，企業(yè)內IT人員應該要在防火墻定期更新已知的惡意網(wǎng)址或IP地址，檢驗企業(yè)內是否有連結這些惡意網(wǎng)絡(luò )地址的記錄，實(shí)時(shí)掌握企業(yè)內資安動(dòng)態(tài)。

美國FBI IC3的12條預防網(wǎng)絡(luò )攻擊的方法：

1. 關(guān)閉微軟SQL Server有害的StoredProcedure呼叫，并移除相關(guān)。dll文件。

2. 限制過(guò)長(cháng)的網(wǎng)址，降低過(guò)長(cháng)網(wǎng)址隱藏惡意網(wǎng)址或參數字符串。

3. 以過(guò)濾字符串和只傳參數方式，確保動(dòng)態(tài)網(wǎng)頁(yè)內容的安全。

4. 不要用最高權限安裝微軟SQL Server和IIS網(wǎng)絡(luò )服務(wù)器。

5. 對所有SQL數據庫的訪(fǎng)問(wèn)者，提供最小的訪(fǎng)問(wèn)權限。

6. 避免使用SQL Server預設的SA管理員賬號和空白密碼，實(shí)施密碼管制。

7. 主機登入密碼多次輸入錯誤時(shí)，應該暫時(shí)封鎖該賬號并進(jìn)行檢查。

8. 需要什么樣的服務(wù)，只要安裝服務(wù)所需要的程序即可。

9. 企業(yè)內的服務(wù)器都應該通過(guò)代理服務(wù)器與外界進(jìn)行聯(lián)系。

10. 管理企業(yè)內部的數據庫訪(fǎng)問(wèn)，設置相關(guān)的數據安全訪(fǎng)問(wèn)策略。

11. 防火墻應該定期 各種已知惡意IP地址和。

12. 避免HSM等會(huì )生成驗證密鑰的設備。若能以其他程序輕易產(chǎn)生密鑰，就會(huì )讓黑客有機會(huì )回推演算方法。