導讀：如今，數(shù)據(jù)庫是黑客攻擊的主要對象，由于數(shù)據(jù)庫中儲存著大量的非常重要的數(shù)據(jù)，數(shù)據(jù)庫安全工作一定要做到很好，那么本文中將為大家介紹的數(shù)據(jù)庫安全工作的8個步驟分別是：發(fā)現(xiàn)、漏洞和配置評估、加強安全保護、變更審計、數(shù)據(jù)庫活動監(jiān)控(DAM)、審計、身份驗證與訪問控制和授權管理、加密。下文中將給出詳細的解析。

實現(xiàn)整體數(shù)據(jù)庫安全步驟：

1、保護數(shù)據(jù)庫并實現(xiàn)法規(guī)遵從

經(jīng)濟利益驅(qū)使下的攻擊、內(nèi)部人員的違法行為，以及各種法規(guī)要求正促使組織尋求新的途徑來保護他們的企業(yè)和客戶數(shù)據(jù)。

全球大部分敏感數(shù)據(jù)都存儲在商業(yè)數(shù)據(jù)庫中，比如 Oracle、 Microsoft SQL Server、IBM DB2和Sybase，這使數(shù)據(jù)庫日漸成為最主要的犯罪目標。這也許可以解釋為什么在 2008年SQL注入攻擊數(shù)量猛增了 134%，從平均每天數(shù)千次增加到每天數(shù)十萬次（根據(jù)IBM發(fā)布的報告）。

更嚴重的是，據(jù)Forrester報告，60%的企業(yè)沒有及時應用數(shù)據(jù)庫安全性補丁，而據(jù) IBM分析，在2008年發(fā)現(xiàn)的所有 Web應用漏洞中的74%（其中 SQL注入漏洞占絕大多數(shù)）到2008年末甚至還沒有可用的補丁。

“您無法防御未知的攻擊。您需要很好地安排您的敏感資產(chǎn)，無論是數(shù)據(jù)庫實例還是數(shù)據(jù)庫中的敏感數(shù)據(jù)。”

但是，在以前，絕大部分注意力都集中在保護網(wǎng)絡邊緣和客戶端系統(tǒng)上（防火墻、 IDS/IPS、反病毒軟件等）。我們現(xiàn)在正步入一個嶄新的階段，在這一階段里，信息安全專業(yè)人員的使命是，確保企業(yè)數(shù)據(jù)庫免遭破壞與未經(jīng)授權的操作。

以下列出了可同時保護數(shù)據(jù)庫和實現(xiàn)對關鍵法規(guī)（比如 SOX、PCI DSS、GLBA和數(shù)據(jù)保護法律）的遵從 的8項重要的最佳實踐。

您無法防御未知的攻擊。您需要很好地安排您的敏感數(shù)據(jù)，無論是數(shù)據(jù)庫實例還是數(shù)據(jù)庫中的敏感數(shù)據(jù)。而且，您應該自動化發(fā)現(xiàn)流程，因為敏感數(shù)據(jù)的位置不斷在變化，這源自于新的或修改的應用、合并和收購等因素。

有趣的是，一些發(fā)現(xiàn)工具還能夠發(fā)現(xiàn)SQL注入攻擊在您的數(shù)據(jù)庫中放置的惡意軟件。除了暴露機密信息，SQL注入漏洞還使攻擊者能夠在數(shù)據(jù)庫中嵌入其他攻擊代碼，然后攻擊訪問網(wǎng)站的用戶。

2.漏洞和配置評估

您需要評估數(shù)據(jù)庫配置，確保它們不存在安全漏洞。這包括驗證在操作系統(tǒng)上安裝數(shù)據(jù)庫的方式（比如檢查數(shù)據(jù)庫配置文件和可執(zhí)行程序的文件權限），以及驗證數(shù)據(jù)庫自身內(nèi)部的配置選項（比如多少次登錄失敗之后鎖定帳戶，或者為關鍵表分配何種權限）。此外，您需要確認您沒有運行帶有已知漏洞的數(shù)據(jù)庫版本。

傳統(tǒng)網(wǎng)絡漏洞掃描程序并不是針對這一目的而設計的，因為它們沒有嵌入關于數(shù)據(jù)庫結構和預期行為的知識，它們也不能發(fā)起 SQL查詢（通過需要憑證的數(shù)據(jù)庫訪問）來揭示數(shù)據(jù)庫配置信息。

3.加強保護

通過漏洞評估，得到的通常是一些具體的建議。這是加強數(shù)據(jù)庫保護的第一步。加強保護的其他要素還包括刪除不使用的所有功能和選項。

4.變更審計

一旦創(chuàng)建了加強了安全保護的配置，就必須持續(xù)跟蹤它，確保您沒有偏離您的“黃金”（安全）配置?？梢酝ㄟ^變更審計工具來完成這一任務，這些工具能夠比較配置的快照（在操作系統(tǒng)和數(shù)據(jù)庫兩個級別上），并在發(fā)生可能影響數(shù)據(jù)庫安全的變更時，立即發(fā)出警告。

5.數(shù)據(jù)庫活動監(jiān)控

對于通過及時檢測入侵和誤用來限制信息暴露，實時監(jiān)控數(shù)據(jù)庫活動非常重要。例如，DAM可以警告暗示著SQL注入攻擊的異常訪問模式、對財務數(shù)據(jù)的未授權更改、帳戶特權提升，以及通過SQL命令執(zhí)行的配置變更。

監(jiān)控特權用戶也是SOX等數(shù)據(jù)治理法規(guī)和PCI DSS等數(shù)據(jù)隱私法規(guī)的一項要求。檢測入侵也很重要，因為攻擊經(jīng)常會讓攻擊者獲得特權用戶訪問權限（比如通過由您的業(yè)務應用所有的憑證實現(xiàn)）。

DAM也是漏洞評估的一個重要要素，因為它支持您超越傳統(tǒng)靜態(tài)評估，以包括對“行為式漏洞”（比如多個用戶共享特權憑證或者數(shù)據(jù)庫登錄失敗次數(shù)過多）的動態(tài)評估。

“不是所有數(shù)據(jù)和所有用戶都是使用同等的方式創(chuàng)建的。您必須對用戶進行身份驗證，確保每個用戶擁有完整的責任，并通過管理特權來限制對數(shù)據(jù)的訪問。”

最后，一些DAM技術提供了應用層監(jiān)控，允許您檢測通過多級應用（比如 PeopleSoft、SAP和Oracle e-Business Suite）執(zhí)行的欺詐行為，而不是通過直接連接數(shù)據(jù)庫執(zhí)行的欺詐行為。

6.審計

必須為影響安全性狀態(tài)、數(shù)據(jù)完整性或敏感數(shù)據(jù)查看的所有數(shù)據(jù)庫活動生成和維護安全、防否認的審計線索。除了是一種重要的遵從性要求，擁有細粒度審計線索對于法庭調(diào)查也很重要。

幸運的是，現(xiàn)在有了一類新的DAM解決方案，以極低的性能影響提供了細粒度、與DBMS獨立的審計，同時通過自動化、集中的跨DBMS策略和審計存儲庫、過濾和壓縮降低了操作成本。

大部分組織目前都采用手動審計形式，利用傳統(tǒng)的本機數(shù)據(jù)庫日志功能。但是，這些方法經(jīng)常難以實施，因為它們實施起來很復雜，而且手動操作還具有很高的操作成本。其他缺點包括較高的性能開銷、缺乏職責分離（因為DBA可以輕松地篡改數(shù)據(jù)庫日志的內(nèi)容，進而影響防否認性），還需要購買和管理大量存儲容量來處理大量未經(jīng)過濾的事物信息。

7.身份驗證、訪問控制和授權管理

不是所有數(shù)據(jù)和所有用戶都是使用同等的方式創(chuàng)建的。您必須對用戶進行身份驗證，確保每個用戶擁有完整的責任，并通過管理特權來限制對數(shù)據(jù)的訪問。您還應該強制實施這些特權，即使是對于特權最高的數(shù)據(jù)庫用戶。您還需要定期審核授權報告（也稱為用戶權利證明報告），將其作為正式審計流程的一部分。

8.加密

使用加密來以不可讀的方式呈現(xiàn)敏感數(shù)據(jù)，這樣攻擊者就無法從數(shù)據(jù)庫外部對數(shù)據(jù)進行未授權訪問。這包括對傳輸中的數(shù)據(jù)進行加密，使攻擊者無法在網(wǎng)絡層竊聽信息并在將數(shù)據(jù)發(fā)送到數(shù)據(jù)庫客戶端時訪問數(shù)據(jù)，還包括對靜止數(shù)據(jù)進行加密，使攻擊者無法提取數(shù)據(jù)，即使能夠訪問媒體文件。
通過上文中介紹的這八步，就能夠輕松實現(xiàn)整體數(shù)據(jù)庫安全，對數(shù)據(jù)庫中數(shù)據(jù)起到了很好的保護作用，相信在大家以后遇到數(shù)據(jù)庫安全問題，本文將會幫助到大家。

【編輯推薦】

1. 提高Oracle數(shù)據(jù)庫系統(tǒng)性能方法匯總
2. 如何保證Web數(shù)據(jù)庫安全性
3. 數(shù)據(jù)庫安全防護幾點介紹
4. 選購數(shù)據(jù)庫安全審計產(chǎn)品的5大要素