每次黃金假期到來之前，網上商務交易總量都會達到歷史新高。你今年是不是也在網上為家人朋友購買禮物了呢?如果是的話，不知道你有沒有停下來考慮過網上購物的時候自己的信用卡信息到底是到哪里去了?當然，你的瀏覽器窗口底下是有個似乎讓人放心的鎖狀圖標，但是這樣真的可以高枕無憂了嗎?

　　其實不盡然。這個鎖的圖標只能說明你的信用卡卡號在傳送到網絡上前被加密，然后到達目的地后會被解密。店主或賣主一般都會把你的信用卡卡號存儲在訂單處理數據庫里——有時候他們并不會設置何時的加密措施或者其他安全保密措施。

　　前些時候國外有一名匿名黑客使用Maxus的假名在他自己的網站上發表了下面這條信息：

　　“嗨，我名字叫Maxus，我可以為您提供一個信用卡接口。您只要點擊下面這個按鈕，就可以直接從最大的網上商店數據庫里得到一個真的信用卡。我不是開玩笑的。”

　　他確實沒有開玩笑。所有點擊了他的網頁中間那個大按鈕的用戶都接收到了一個隨機抽取的信用卡詳細信息——詳細到足夠讓你去購物。雖然網絡服務供應商和執法部門很快地把Maxus的網站封閉了，但是用戶還可以查看到這個網站的鏡象。

　　在MSNBC的一次采訪中，Maxus聲稱自己從CreditCards.com數據庫里竊取了超過55000條個人信用卡記錄。CreditCards.com是一個服務于上百個電子商務網站的信用卡處理器。這并不是他的第一次。警方懷疑Maxus是前蘇聯一個四人黑客團伙的一員。

　　不幸的是，CreditCards.com事件只是連串網上數據庫攻擊事件中的最近的一件而已。2000年一月份，一群黑客利用微軟SQL Server數據庫產品的一個漏洞協助MSNBC記者從另一個電子商務網站上檢索到2500條信用卡記錄。九個月后，英國一名反對征收高燃油稅的黑客用同樣的方法洗劫了168個企業網站。

　　數據庫安全隱患-攻擊

　　這些攻擊都是怎么樣發生的?發出這些攻擊的黑客都是利用了一些安全性不夠強的數據庫服務器那些“閃閃發光”的漏洞。這些數據庫服務器把自己的大門敞開，讓懷有惡意的人隨意玩弄。

　　微軟的SQL Server數據庫產品因為與微軟的Internet Information Server網絡服務器緊密結合而受到電子商務開發員的廣泛歡迎。但是，這樣簡單容易的整合往往讓開發員不經過必須的培訓就嘗試進行復雜重要的項目。

　　在安裝過程中，SQL Server提示用戶創建一個系統管理員(或“sa”)帳戶，該帳戶擁有數據庫的完全訪問權限。在舊版本的SQL Server里，如果在安裝程序的時候快速地一路點擊過去而不加注意，很容易就會創建沒有任何的密碼保護的擁有完全訪問權限的管理員帳戶!SQL Server2000發行以后，微軟特別在安裝屏里添加了一個check box，要求管理員手動確認創建無密碼保護的管理員帳號的安全風險。

SQL Server 2000 Installation

　　不幸的是，仍然有很多網站在使用舊版本的SQL Server，而且黑客們都很清楚這個事實，要利用這個漏洞對他們來說簡直輕而易舉。如果沒有防火墻，黑客只需要在自己的電腦上打開SQL Server客戶軟件，然后輸入數據庫服務器的地址(通常跟網站URL一樣)。如果默認值還在，黑客馬上就可以獲得數據庫的完全訪問權，可以任意查看、修改或者刪除里面的數據信息。

　　數據庫安全隱患

　　補救辦法

　　如果你已經認識到了數據庫安全問題的重要性，也許你就該問怎么做才可以保護企業的數據庫不淪為Maxus或其他黑客的下一個攻擊目標呢?其實只要花上一兩個小時把企業加強數據庫的安全控制就能夠把可能會造成災難性結果的黑客攻擊扼殺于襁褓之中。

　　如果你運行的是微軟SQL Server，這個時候最重要的任務就是要確保你的“sa”帳戶(當然還有其他的帳戶!)要有一個安全性強大的密碼來保護。只需要打開Enterprise Manager，找到你所連接的數據庫的“Logins”選項。點擊“sa”帳戶后會出現以下窗口：

SQL Server Account Properties Screen

　　如果沒有設置密碼(如上圖中紅色圈中部分)，你的數據庫就是出于完全開放的狀態!任何一個可以使用你的電腦的用戶只需要使用默認登錄參數就可以任意訪問你的數據庫。鍵入密碼，為“sa”帳戶設置安全性強的密碼。同樣的方法為你的其他帳戶和數據庫加強安全控制。

　　下一步是看看你數據庫服務器主機里所運行的服務是不是都是必需的。如果你發現機器里運行著無關緊要的程序，就把它們卸除掉。它們只會給你的服務器添加不必要的麻煩，還可能會造成系統安全性漏洞。

　　保證數據庫安全性是每一個數據庫管理員的職責，因此一定不能疏忽大意，才能保證企業組織的聲譽。