GxP读立团群里吐槽过,最近一直在忙着某系统升级的事情,扫漏洞,打补丁,其中有一条来自安全方面的建议就是需要将默认的端口号修改掉。
中间有一段内容来自于csdn论坛,可能比较硬核,制药行业的同仁可以跳过,拉到最后,看一下我所理解的风险,也希望你能积极参与投票,或者将这篇文章让更多的IT专业人士所看到。
先来普及一下常见的数据库默认的端口号:
关系型数据库: 1.Oracle数据库默认端口号为,1521;
2.MySQL数据库默认端口号为,3306;
3.SQLServer数据库默认端口号为,1433;
NOSQL数据库:
1.MongoDB默认端口号为:27017;
2.Redis默认端口号为:6379;
3.memcached默认端口号为:11211;
https://bbs.csdn.net/topics/392509309
再来看看端口的作用:
关系型的数据库背后本质是一张表,表内有各种信息,为了查询这些信息,可以用对应的SQL语句,返回查询结果,但是这样的方式太原始,通常是通过提供一个数据所在主机的ip地址和端口来进行查询,用以解决上述的原始查询方式的两个弊端:只能本地访问;2.无法多线程访问 https://blog.csdn.net/youyaecho/article/details/51771037
既然不同的数据库都有默认端口,那么意味着如果主机的IP被泄露(或者这玩意本来就不是什么秘密,很容易查到),端口又采用的是默认端口,那么就有可能被某种黑客的方式,造成大量的数据查询访问,占用资源,所以,修改默认端口为某一个自定义的端口,某种程度上可以降低这里面的风险。
同样引用自上面的一条博客:
使用了ip地址和端口后,任何只要和本主机联网的机器都可以访问数据库。这样数据库就成了一个单独的服务器了,一个前台线程负责监听,一个后台线程负责处理实际的SQL语句。另外为了安全,我们还可以要求用户提供一个用户名和密码。这样,应用程序访问数据库的方式就高级了很多。 https://blog.csdn.net/youyaecho/article/details/51771037
关于数据库监听程序:
要和数据库服务器通讯,必须要和服务器连接,建立连接时,服务器要知道有客服端连接进来了,而监听器就是干这个活的,监听程序就是在服务端等客户端连接的程序。对于专用连接来说,它负责建立一个与客户端对应的服务器进程来为其服务。 https://blog.csdn.net/youyaecho/article/details/51771037
上面的数据库方面的硬核内容如果你选择性跳过,建议下面的内容能给你带来一些思考:
制药行业强调的不是零风险
而是将风险控制在一个可接受的水平
- 制药行业某些软件供应商所采用的技术有可能并不是最新的,技术也在不断迭代与更新。
比如某系统,官方的声明里只提到数据库支持到Oracle数据库的低版本,并没有任何测试数据证明支持数据库高版本,那么对于用户而言,是升级到高版本风险高,还是继续使用Oracle已经不支持的低版本风险高?这里对风险的认知,决定了你在第一个问题中会做出怎样的决策,决策没有对错之分,做决策的人需要对最终的决策负责。
第二个问题,就不多说了,全面测试相关的话题2016年4月就首发过,大家可以投票后点击这里的链接,回顾一下。
- 在低版本的数据库有已知漏洞的情况下,假定漏洞无法被修复,那么采用修改数据库访问端口的方法,能不能认为是一种控制风险的手段,在这种情况下,如果将这个理由书面记录下来,现在的监管机构能不能接受,或者用户自己能不能接受?第三第四个问题,期待你的观点。
- 扫漏洞,或者打补丁,是一个系统性的工作,在数据库低版本n年以前已经不支持的情况下,应该有意识及早进行系统的升级,同时漏洞扫描和补丁更新也应该是一个定期的活动,而不是几年无动于衷,几周内风风火火要求一定要完成;
- 漏洞扫描的方法和标准经不经得起考验?提供漏洞扫描服务的供应商要不要去做审计,查资质,采用的漏洞扫描软件要不要验证或者确认?如果扫描的结果前后不一致,扫描报告中给出的结论模棱两可,那么别怪别人怼你,打铁还需自身硬。
- 每一件事情,在做最终的决定之前,会有一系列的小的决策,通过决策树的方式,是可以预见结果的,通过可视化的决策树,帮助老板做决定,是一个好的SME最重要的修养,也是SME的价值,希望只负责挖坑的队友少一些~
- 所有的决定,背后都是有逻辑的,我喜欢和逻辑清楚的人打交道,你可以说我错,但我有表达自己观点的权力,也希望你能尊重我说话的权力
- 赞助本站
- 微信扫一扫
-
- 加入Q群
- QQ扫一扫
-
评论