【51CTO.COM 獨(dú)家翻譯】確保任何關(guān)系數(shù)據(jù)庫(kù)的安全并非易事，更用不說像甲骨文數(shù)據(jù)庫(kù)這么極其龐大、功能豐富的數(shù)據(jù)庫(kù)了。這款產(chǎn)品有眾多不同的部署方式，再加上諸多安裝的遺留版本，幾乎不可能識(shí)別及防范每一個(gè)潛在的威脅。甲骨文數(shù)據(jù)庫(kù)連接至Web應(yīng)用程序，這帶來(lái)了充滿變數(shù)的開源和第三方軟件，因而最終用戶企業(yè)就更容易受到攻擊了。

不過，并不是用戶不可能駕馭甲骨文數(shù)據(jù)庫(kù)，特別是借助甲骨文公司最近發(fā)布的一些新工具。下面不妨看一下甲骨文數(shù)據(jù)庫(kù)用戶面臨的幾個(gè)安全難題，以及應(yīng)對(duì)難題的一些方法。

第一大難題：打補(bǔ)丁

在過去，甲骨文在給需要引起注意的安全漏洞及時(shí)打上補(bǔ)丁方面表現(xiàn)很糟糕。因備受關(guān)注的漏洞披露，加上客戶強(qiáng)烈抗議，這家公司于是改變了做法。甲骨文在實(shí)質(zhì)性披露漏洞風(fēng)險(xiǎn)方面仍顯得滯后，無(wú)疑沒有以一種其客戶能夠明白的語(yǔ)言來(lái)告知風(fēng)險(xiǎn)，而且通常也不提供變通方法。不過，它發(fā)布安全補(bǔ)丁的確比幾年前要及時(shí)得多。

但任何甲骨文數(shù)據(jù)庫(kù)管理員都會(huì)告訴你，安裝甲骨文補(bǔ)丁很難，特別是由于系統(tǒng)常常需要在打上補(bǔ)丁后重啟；而許多業(yè)務(wù)功能圍繞甲骨文數(shù)據(jù)庫(kù)這個(gè)核心系統(tǒng)來(lái)運(yùn)行。

停掉數(shù)據(jù)庫(kù)以便打補(bǔ)丁可不是唯一的問題；對(duì)數(shù)據(jù)庫(kù)功能進(jìn)行改動(dòng)也會(huì)導(dǎo)致副作用央及整個(gè)企業(yè)。大多數(shù)數(shù)據(jù)庫(kù)管理員在安裝補(bǔ)丁后都會(huì)遇到嚴(yán)重的數(shù)據(jù)庫(kù)崩潰，不得不完成隨后的清除過程。

第二大難題：部署復(fù)雜性

無(wú)論是中型企業(yè)還是大企業(yè)，許多企業(yè)都在積極采用虛擬化技術(shù)，旨在改進(jìn)服務(wù)、提高靈活性和冗余性，同時(shí)降低運(yùn)營(yíng)成本。網(wǎng)格系統(tǒng)把可擴(kuò)展性和負(fù)載均衡推向了新的水平。而安裝云架構(gòu)成為了現(xiàn)實(shí)，甲骨文數(shù)據(jù)庫(kù)作為一項(xiàng)服務(wù)來(lái)提供。

這每一種新的部署模式都會(huì)帶來(lái)威脅途徑。由于安裝了多節(jié)點(diǎn)、虛擬和復(fù)制的系統(tǒng)，因而大大加強(qiáng)了核實(shí)配置設(shè)置的難度。想核實(shí)補(bǔ)丁、訪問控制設(shè)置和識(shí)別配置不當(dāng)?shù)臋C(jī)器，也困難得多。

此外，許多攻擊者偷偷篡改配置設(shè)置，這些設(shè)置直到數(shù)據(jù)庫(kù)重啟后才會(huì)生效。篡改和隨后的攻擊極難被發(fā)覺，更不用說發(fā)現(xiàn)彼此之間的聯(lián)系了。

第三大難題：Web應(yīng)用程序

保護(hù)專有的Web應(yīng)用程序是一個(gè)更大的難題，因?yàn)榕c仁科、Siebel和甲骨文財(cái)務(wù)軟件等商業(yè)產(chǎn)品不一樣，Web應(yīng)用程序是結(jié)合了復(fù)雜的開源軟件和第三方服務(wù)開發(fā)而成的。網(wǎng)頁(yè)通常具有動(dòng)態(tài)性，所以每個(gè)用戶體驗(yàn)都略有不同，因而使得應(yīng)用程序的安全測(cè)試顯得更困難了。

結(jié)果就是，你根本無(wú)法用一般的評(píng)估和審計(jì)產(chǎn)品來(lái)保護(hù)Web應(yīng)用程序的安全。安全工具需要大量的定制工作，而Web應(yīng)用程序需要比商用軟件更全面深入的測(cè)試和認(rèn)證。

第四大難題：廣泛的威脅范圍

甲骨文數(shù)據(jù)庫(kù)提供了數(shù)量眾多的功能和選項(xiàng)，因而面臨更大的威脅范圍，這讓攻擊者有機(jī)會(huì)瞄向多得多的目標(biāo)。甲骨文數(shù)據(jù)庫(kù)標(biāo)配的許多功能是許多公司很少使用的。而幾乎每一個(gè)甲骨文軟件包的安全都曾經(jīng)受到過危及。

由于甲骨文軟件包兼顧眾多不同的用例（use case），所以沒有什么所謂安全的默認(rèn)配置。默認(rèn)的甲骨文數(shù)據(jù)庫(kù)配置并不安全，所以用戶得抽些時(shí)間來(lái)取消自己不需要的功能；還要在數(shù)據(jù)庫(kù)投入生產(chǎn)環(huán)境之前，核實(shí)用戶、平臺(tái)和應(yīng)用程序等方面的安全措施已落實(shí)到位。

第五大難題：安裝的遺留版本

不是每個(gè)甲骨文的客戶都使用版本11的數(shù)據(jù)庫(kù)。實(shí)際上，絕大多數(shù)客戶使用比較舊的版本。一大部分甲骨文客戶仍使用版本8和9。甲骨文數(shù)據(jù)庫(kù)功能穩(wěn)定，所以客戶并不急于將錢投入到升級(jí)上。

但這些版本是在大多數(shù)人聽說緩沖器溢出攻擊或遠(yuǎn)程漏洞之前設(shè)計(jì)和開發(fā)的。許多已知的安全威脅已通過補(bǔ)丁得到了消除--假如它們都已經(jīng)向后移植（backport），但這些舊版本數(shù)據(jù)庫(kù)缺少密碼管理、加密、數(shù)據(jù)庫(kù)管理員角色隔離和審計(jì)等方面的一些改進(jìn)。

同樣，使用舊版本甲骨文數(shù)據(jù)庫(kù)的遺留應(yīng)用系統(tǒng)并沒有內(nèi)置安全功能，比如控制系統(tǒng)、自主開發(fā)的應(yīng)用系統(tǒng)、大型機(jī)連接器和SAP R3等系統(tǒng)。應(yīng)用系統(tǒng)與數(shù)據(jù)庫(kù)之間有著相互依賴的關(guān)系，依靠外部安全服務(wù)來(lái)檢測(cè)和防范威脅。

盡管面臨上述難題，但甲骨文公司還是在提供一套越來(lái)越可靠的安全功能和應(yīng)用軟件。如果公司企業(yè)充分利用好這些工具，就對(duì)保護(hù)自己的甲骨文數(shù)據(jù)庫(kù)大有幫助。

來(lái)源：http://www.darkreading.com/database-security/167901020/security/application-security/228300490/the-top-five-challenges-in-securing-oracle-databases.html

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. 用數(shù)據(jù)庫(kù)安全策略防止權(quán)限升級(jí)攻擊
2. 優(yōu)秀企業(yè)數(shù)據(jù)庫(kù)安全策略所具備的四個(gè)要點(diǎn)
3. 企業(yè)數(shù)據(jù)庫(kù)安全失效的五大原因匯總
4. 數(shù)據(jù)庫(kù)安全之MSSQL數(shù)據(jù)庫(kù)防注入