隨著信息技術(shù)的發(fā)展，數(shù)據(jù)庫(kù)的應(yīng)用也越來(lái)越廣泛，其應(yīng)用涵蓋了各行各業(yè)。大數(shù)據(jù)、云時(shí)代的到來(lái)，數(shù)據(jù)庫(kù)的部署環(huán)境也發(fā)生了很大變化，尤其是在云計(jì)算中數(shù)據(jù)庫(kù)的部署已經(jīng)沒有明顯的邊界，這些變化使得數(shù)據(jù)庫(kù)安全問題更加顯現(xiàn)。就目前來(lái)看，數(shù)據(jù)庫(kù)安全的主要威脅來(lái)自三方面：1、人為因素；2、數(shù)據(jù)庫(kù)自身漏洞；3、第三方惡意插件。

1、人為因素

人為因素是指因?yàn)槿说氖韬龌蛘呓?jīng)驗(yàn)等問題對(duì)數(shù)據(jù)庫(kù)安全造成的威脅。威脅主要有兩種，第一種是弱口令；第二種是錯(cuò)誤的配置。弱口令主要是因?yàn)槿酥饔^上安全意識(shí)薄弱造成的，錯(cuò)誤的配置也是因?yàn)槿说陌踩�意識(shí)或者經(jīng)驗(yàn)方面的欠缺造成的，所以這兩種數(shù)據(jù)庫(kù)安全的威脅主要都是來(lái)自人的因素。

2、數(shù)據(jù)庫(kù)自身的漏洞

數(shù)據(jù)庫(kù)自身的漏洞主要可以分為兩大類，第一類：數(shù)據(jù)庫(kù)軟件漏洞，這類漏洞的典型代表就是緩沖區(qū)溢出、提權(quán)等數(shù)據(jù)庫(kù)自身的漏洞；第二類是應(yīng)用程序邏輯漏洞，這類漏洞的典型代表是SQL注入漏洞。

3、第三方惡意插件

第三方惡意插件是最近剛剛興起的一種數(shù)據(jù)庫(kù)攻擊手段。它的本質(zhì)是在數(shù)據(jù)庫(kù)使用的工具或第三方組件中插入惡意的SQL語(yǔ)句。然后通過(guò)特性的方式觸發(fā)惡意SQL語(yǔ)句，從而達(dá)到攻擊數(shù)據(jù)庫(kù)的目的。

數(shù)據(jù)庫(kù)安全事件頻發(fā)，數(shù)據(jù)泄露事件此起彼伏。攻擊的手法雖然有千變?nèi)f化。但我們還是可以通過(guò)遵循一些簡(jiǎn)單的原則防止或緩解數(shù)據(jù)庫(kù)受到的威脅。1.和數(shù)據(jù)庫(kù)關(guān)聯(lián)的軟硬件，請(qǐng)使用官方正版，防止破解版中被植入后門、惡意SQL等內(nèi)容威脅數(shù)據(jù)庫(kù)安全。2.按時(shí)安裝數(shù)據(jù)庫(kù)最新補(bǔ)丁，如果有某種原因無(wú)法及時(shí)打補(bǔ)丁，也請(qǐng)使用VPATCH功能保護(hù)數(shù)據(jù)庫(kù)安全。3.合理的配置，定期通過(guò)工具管理數(shù)據(jù)庫(kù)用戶名和密碼，防止弱口令和錯(cuò)誤配置出現(xiàn)。