數(shù)據(jù)庫(kù)安全，和其他所有安全問(wèn)題一樣，都是圍繞減輕風(fēng)險(xiǎn)的，而不是消除風(fēng)險(xiǎn)，你不可能消除所有的風(fēng)險(xiǎn)，但是你能夠控制這些風(fēng)險(xiǎn)，以確保這些安全風(fēng)險(xiǎn)不會(huì)給企業(yè)帶來(lái)麻煩。

假設(shè)你是攻擊企業(yè)網(wǎng)絡(luò)的惡意攻擊者，那么你首先會(huì)攻擊哪些數(shù)據(jù)呢？在大多數(shù)企業(yè)中，大量有價(jià)值的數(shù)據(jù)通常都位于相同的應(yīng)用中，即數(shù)據(jù)庫(kù)。

網(wǎng)絡(luò)中存在數(shù)百萬(wàn)的數(shù)據(jù)庫(kù)，而大多數(shù)攻擊者都不是太挑剔，他們會(huì)直接選擇最不安全的數(shù)據(jù)庫(kù)下手。當(dāng)攻擊者將你設(shè)為攻擊目標(biāo)時(shí)，企業(yè)將面臨巨大的安全威脅。本文將探討如何通過(guò)三個(gè)步驟來(lái)保持?jǐn)?shù)據(jù)庫(kù)的安全性以確保不成為網(wǎng)絡(luò)攻擊者的目標(biāo)。

第一個(gè)問(wèn)題就是找到數(shù)據(jù)庫(kù)服務(wù)器本身。數(shù)據(jù)庫(kù)服務(wù)器最常見(jiàn)的位置是在數(shù)據(jù)中心，在數(shù)據(jù)中心的數(shù)據(jù)庫(kù)通常都有日志記錄，也更加安全。不過(guò)也有很多數(shù)據(jù)庫(kù)服務(wù)器出現(xiàn)在企業(yè)的其他部分，包括研究和開(kāi)發(fā)實(shí)驗(yàn)室、測(cè)試環(huán)境和嵌入式系統(tǒng)等。

找出這些數(shù)據(jù)庫(kù)服務(wù)器并分析這些數(shù)據(jù)庫(kù)服務(wù)器所存儲(chǔ)的信息是管理安全風(fēng)險(xiǎn)和保護(hù)企業(yè)最重要數(shù)據(jù)的第一個(gè)步驟，在測(cè)試環(huán)境映射生產(chǎn)服務(wù)器并不罕見(jiàn)，很多測(cè)試環(huán)境都存儲(chǔ)著與生產(chǎn)環(huán)境相同的重要信息。研發(fā)團(tuán)隊(duì)通常在沒(méi)有告知IT團(tuán)隊(duì)或者尋求IT團(tuán)隊(duì)幫助的情況下就安裝服務(wù)區(qū)，所以發(fā)現(xiàn)包含重要研究信息的服務(wù)器并不罕見(jiàn)。

找到包含重要數(shù)據(jù)的數(shù)據(jù)庫(kù)服務(wù)器后，第二個(gè)步驟就是鎖定這些數(shù)據(jù)庫(kù)服務(wù)器。實(shí)現(xiàn)這個(gè)步驟主要有三個(gè)要素：防火墻、漏洞修復(fù)和Web應(yīng)用程序。數(shù)據(jù)庫(kù)服務(wù)器并不需要被企業(yè)的每個(gè)工作站訪問(wèn)，當(dāng)然這也可能存在例外，但不太可能。花點(diǎn)時(shí)間為數(shù)據(jù)庫(kù)服務(wù)器部署合適的防火墻，確保服務(wù)器只能與必要的系統(tǒng)通信，并記住縱深防御的方法：在網(wǎng)絡(luò)、主機(jī)和應(yīng)用程序級(jí)別制定規(guī)則。

適當(dāng)限制對(duì)數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)權(quán)限肯定能夠減少攻擊面，但這并不意味著可以不用修復(fù)補(bǔ)丁。很多調(diào)查都發(fā)現(xiàn)，數(shù)據(jù)庫(kù)管理員沒(méi)有定期修復(fù)數(shù)據(jù)庫(kù)系統(tǒng)的補(bǔ)丁。對(duì)于安全來(lái)說(shuō)，定期修復(fù)補(bǔ)丁絕對(duì)是有必要的，這樣不至于因?yàn)閹讉€(gè)月前未修復(fù)的漏洞而受到攻擊。建立一個(gè)測(cè)試環(huán)境，然后修復(fù)補(bǔ)丁，確認(rèn)補(bǔ)丁修復(fù)，然后修復(fù)生產(chǎn)環(huán)境的補(bǔ)丁。

Web應(yīng)用程序給數(shù)據(jù)庫(kù)安全問(wèn)題帶來(lái)了新的考驗(yàn)，web應(yīng)用承諾工序需要將數(shù)據(jù)傳上網(wǎng)絡(luò)，并且讓數(shù)據(jù)庫(kù)后端為其提供支持，這些已經(jīng)產(chǎn)生了數(shù)百萬(wàn)條敏感數(shù)據(jù)記錄。SQL注入攻擊是2010年OWASP前十名最具攻擊性的攻擊之首，SQL注入攻擊可以允許攻擊者僅使用Web瀏覽器就可以從數(shù)據(jù)庫(kù)讀取、修改和刪除數(shù)據(jù)。

如果你的web應(yīng)用程序是由數(shù)據(jù)庫(kù)提供支持的，那么你需要為web應(yīng)用程序的開(kāi)發(fā)生命周期部署安全編碼，并且當(dāng)任何時(shí)候引入新代碼時(shí)，都會(huì)對(duì)web應(yīng)用程序執(zhí)行漏洞評(píng)估分析。

新攻擊方式和新漏洞層出不窮。新的安全工具也一直在開(kāi)發(fā)中，例如近日在歐洲黑帽大會(huì)上推出的Poet。在你的web應(yīng)用程序登上下一個(gè)數(shù)據(jù)泄漏報(bào)告前，花點(diǎn)時(shí)間來(lái)加強(qiáng)web應(yīng)用程序的安全性是非常有必要的。

最后但并非最不重要的一點(diǎn)，開(kāi)啟審計(jì)功能。很多企業(yè)僅用審計(jì)功能以努力提高數(shù)據(jù)庫(kù)服務(wù)器的性能，如果性能是企業(yè)關(guān)注的主要問(wèn)題的話，那么可以考慮使用數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控解決方案來(lái)為企業(yè)提供審計(jì)和其他功能。關(guān)閉審計(jì)功能會(huì)加大調(diào)查數(shù)據(jù)泄漏原因的難度，并且會(huì)影響企業(yè)的合規(guī)。

做好數(shù)據(jù)庫(kù)的安全問(wèn)題的保障工作，才能確保數(shù)據(jù)庫(kù)中數(shù)據(jù)信息的安全，希望大家通過(guò)上文的學(xué)習(xí)之后，做好數(shù)據(jù)庫(kù)安全加強(qiáng)工作，這在大家以后的工作中會(huì)是非常有用的。