进入2020年，大数据(big data)一词越来越多地被提及，人们用它来描述和定义信息爆炸时代产生的海量数据，并命名与之相关的技术发展与创新。

　　数据正在迅速膨胀并变大，它决定着企业的未来发展，虽然现在企业可能并没有意识到数据爆炸性增长带来问题的隐患，但是随着时间的推移，人们将越来越多的意识 到数据对企业的重要性。

　　我们来分析一下现今数据库面临的主要威胁：

　　威胁 1 - 滥用过高权限

　　当用户（或应用程序）被授予超出了其工作职能所需的数据库访问权限时，这些权限可能会被恶意滥用。例如，一个大学管理员在工作中只需要能够更改学生的联系信息，不过他可能会利用过高的数据库更新权限来更改分数。

　　威胁 2 - 滥用合法权

　　用户还可能将合法的数据库权限用于未经授权的目的。假设一个恶意的医务人员拥有可以通过自定义 Web 应用程序查看单个患者病历的权限。通常情况下，该 Web应用程序的结构限制用户只能查看单个患者的病史，即无法同时查看多个患者的病历并且不允许复制电子副本。但是，恶意的医务人员可以通过使用其他客户端（如MS-Excel）连接到数据库，来规避这些限制。通过使用 MS-Excel 以及合法的登录凭据，该医务人员就可以检索和保存所有患者的病历。

　　威胁 3 - 权限提升

　　攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权限。漏洞可以在存储过程、内置函数、协议实现甚至是 SQL语句中找到。例如，一个金融机构的软件开发人员可以利用有漏洞的函数来获得数据库管理权限。使用管理权限，恶意的开发人员可以禁用审计机制、开设伪造的帐户以及转帐等。

　　威胁 4 - SQL 注入

　　在SQL注入攻击中，入侵者通常将未经授权的数据库语句插入（或“注入”）到有漏洞的SQL数据信道中。通常情况下，攻击所针对的数据信道包括存储过程和Web应用程序输入参数。然后，这些注入的语句被传递到数据库中并在数据库中执行。使用SQL注入，攻击者可以不受限制地访问整个数据库。

　　威胁 5 – 日志记录不完善

　　自动记录所有敏感的和/或异常的数据库事务应该是所有数据库部署基础的一部分。如果数据库审计策略不足，则组织将在很多级别上面临严重风险。

　　威胁 6 - 身份验证不足

　　薄弱的身份验证方案可以使攻击者窃取或以其他方法获得登录凭据，从而获取合法的数据库用户的身份。攻击者可以采取很多策略来获取凭据。

　　威胁 7 - 备份数据暴露

　　经常情况下，备份数据库存储介质对于攻击者是毫无防护措施的。因此，在若干起著名的安全破坏活动中，都是数据库备份磁带和硬盘被盗。防止备份数据暴露所有数据库备份都应加密。实际上，某些供应商已经建议在未来的 DBMS产品中不应支持创建未加密的备份。建议经常对联机的生产数据库信息进行加密，但是由于性能问题和密钥管理不善问题，这一加密方法通常是不现实的，并且一般被公认为是上文介绍的细化的权限控制的不理想的替代方法。