數(shù)據(jù)庫對(duì)于應(yīng)用系統(tǒng)的運(yùn)行至關(guān)重要，但是由于未進(jìn)行加密，也沒有防火墻的保護(hù)，使得未加密信息被泄露到網(wǎng)絡(luò)上，數(shù)據(jù)庫被攻擊而造成數(shù)據(jù)丟失、系統(tǒng)癱瘓的事情時(shí)有發(fā)生，只有解決了這兩個(gè)問題，才能夠保護(hù)數(shù)據(jù)庫的安全。

　　數(shù)據(jù)庫“裸奔” 安全事件頻出

　　數(shù)據(jù)庫作為結(jié)構(gòu)化數(shù)據(jù)保存的主要載體，其中的數(shù)據(jù)非常重要。但是好多的數(shù)據(jù)庫沒有進(jìn)行加密，使得數(shù)據(jù)在互聯(lián)網(wǎng)上“裸奔”，造成了眾多的安全事件。

　　2020年1月，安全研究員Jeremiah Fowler在網(wǎng)上發(fā)現(xiàn)了一個(gè)數(shù)據(jù)庫，其中包含“大量記錄”。這個(gè)在網(wǎng)上公開的數(shù)據(jù)庫沒有密碼保護(hù)，總共包含440,336,852條記錄，連接到總部位于紐約的化妝品巨頭雅詩蘭黛。公開的數(shù)據(jù)庫記錄不包含付款數(shù)據(jù)或敏感的員工信息，數(shù)據(jù)庫泄露的其他數(shù)據(jù)則包括：以純文本格式存儲(chǔ)的用戶電子郵件，包括來自@ estee.com域的內(nèi)部電子郵件地址;內(nèi)部大量IT日志，包括生產(chǎn)、審核、錯(cuò)誤、內(nèi)容管理系統(tǒng)和中間件報(bào)告;參考報(bào)告和其他內(nèi)部文件;對(duì)公司內(nèi)部使用的IP地址，端口、路徑和存儲(chǔ)的引用等。之后該公司稱這個(gè)系統(tǒng)不是面向客戶的，也不包含客戶數(shù)據(jù)，并立即關(guān)閉了對(duì)該數(shù)據(jù)庫的訪問通道，對(duì)數(shù)據(jù)進(jìn)行保護(hù)。

　　2002年5月，江蘇省南通市公安局公布，經(jīng)過4個(gè)多月的縝密偵查，江蘇南通、如東兩級(jí)公安機(jī)關(guān)破獲了一起特大“暗網(wǎng)”侵犯公民個(gè)人信息案，抓獲犯罪嫌疑人27名，查獲被售賣的公民個(gè)人信息數(shù)據(jù)5000多萬條。這起案件也被公安部列為2019年以來全國公安機(jī)關(guān)偵破的10起侵犯公民個(gè)人信息違法犯罪典型案件之一。

　　2020年3月，有用戶發(fā)現(xiàn)5.38億條微博用戶信息在暗網(wǎng)出售，其中1.72億條有賬戶基本信息，售價(jià)0.177比特幣。涉及到的賬號(hào)信息包括用戶ID、賬號(hào)發(fā)布的微博數(shù)、粉絲數(shù)、關(guān)注數(shù)、性別、地理位置等。對(duì)此，微博安全總監(jiān)羅詩堯回應(yīng)表示：“泄漏的手機(jī)號(hào)是19年通過通訊錄上傳接口被暴力匹配的，其余公開信息都是網(wǎng)上抓來的。”

　　2021年1月29日，銀保監(jiān)會(huì)開出2021年第一張罰單，中國農(nóng)業(yè)銀行因涉及發(fā)生重要信息系統(tǒng)突發(fā)事件未報(bào)告、數(shù)據(jù)安全管理粗放存在數(shù)據(jù)泄露風(fēng)險(xiǎn)、互聯(lián)網(wǎng)門戶網(wǎng)站泄露敏感信息等六項(xiàng)問題，被罰420萬人民幣。

　　數(shù)據(jù)庫受攻擊 系統(tǒng)宕機(jī)損失嚴(yán)重

　　2020年剛開始，蘋果CMS被爆出數(shù)據(jù)庫代碼執(zhí)行漏洞，大量的電影網(wǎng)站被掛馬，尤其電影的頁面被篡改植入了惡意代碼，數(shù)據(jù)庫中的VOD表里的d_name被全部修改，導(dǎo)致網(wǎng)站打開后直接跳轉(zhuǎn)到S站或者彈窗廣告。

[[382212]]

　　同時(shí)，使用數(shù)據(jù)庫開發(fā)的應(yīng)用系統(tǒng)，就可能存在SQL注入攻擊的可能。自1999年起，SQL注入漏洞就成了常見安全漏洞之一。至今SQL注入漏洞仍然在CVE列表中排前10。2008年見證了由于SQL注入引起的經(jīng)濟(jì)失調(diào);在2010年秋季，聯(lián)合國官方網(wǎng)站也遭受SQL注入攻擊;2011年美國國土安全局，Mitre和SANA研究所將SQL注入作為第一危險(xiǎn)的安全漏洞;至今，SQL注入仍然是首要的難以修復(fù)的安全威脅漏洞(數(shù)據(jù)庫生產(chǎn)廠商難以通過維護(hù)數(shù)據(jù)庫自身功能或提高數(shù)據(jù)庫安全策略來防范SQL注入)。

　　類似事件眾多，不勝枚舉。

　　潮數(shù)數(shù)據(jù)庫加密系統(tǒng) 解決數(shù)據(jù)安全問題

　　潮數(shù)數(shù)據(jù)庫加密系統(tǒng)，基于加密算法和合理的密鑰管理，有選擇性地加密敏感字段內(nèi)容，保護(hù)數(shù)據(jù)庫內(nèi)部敏感數(shù)據(jù)的安全。敏感數(shù)據(jù)以密文的形式存儲(chǔ)，這樣能保證即使在存儲(chǔ)介質(zhì)被竊取，或數(shù)據(jù)文件被非法復(fù)制的情況下，敏感數(shù)據(jù)仍是安全的。并通過密碼技術(shù)實(shí)現(xiàn)“三權(quán)分離”，避免DBA密碼泄漏帶來的批量數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

　　潮數(shù)加密根據(jù)業(yè)務(wù)需求支持?jǐn)?shù)據(jù)庫透明加密分級(jí);一級(jí)透明加密了潮數(shù) Self TDE支持成熟TDE架構(gòu)，對(duì)數(shù)據(jù)庫管理及應(yīng)用完全透明;雙層密鑰機(jī)制，每個(gè)表或者數(shù)據(jù)庫對(duì)應(yīng)不同密鑰，密鑰使用主密鑰進(jìn)行緊密保護(hù)，主密鑰存儲(chǔ)與密碼模塊保證密鑰安全性。二級(jí)透明加密了潮數(shù) Struct TDE采用自研加密技術(shù)，實(shí)現(xiàn)數(shù)據(jù)庫數(shù)據(jù)加密或明文完整性密碼運(yùn)算，支持國密算法及標(biāo)準(zhǔn)國際算法，提供增強(qiáng)的權(quán)限控制，必須同時(shí)具有DBA和DSA的授權(quán)才能進(jìn)行訪問。同時(shí)可附加選擇符合國密密碼模塊二級(jí)標(biāo)準(zhǔn)的功能，數(shù)據(jù)庫數(shù)據(jù)可數(shù)據(jù)透明加密加鹽，相同數(shù)據(jù)密文不同，支持?jǐn)?shù)據(jù)庫明文或密文完整性校驗(yàn)，支持對(duì)透明加密數(shù)據(jù)進(jìn)行審計(jì)。

　　潮數(shù)數(shù)據(jù)庫防火墻系統(tǒng) 防范數(shù)據(jù)庫被攻擊和宕機(jī)危險(xiǎn)

　　潮數(shù)數(shù)據(jù)庫防火墻通過實(shí)時(shí)分析網(wǎng)絡(luò)中的數(shù)據(jù)庫訪問活動(dòng)，對(duì)訪問數(shù)據(jù)庫操作進(jìn)行細(xì)粒度的規(guī)則匹配，對(duì)數(shù)據(jù)庫遭受到的風(fēng)險(xiǎn)行為進(jìn)行訪問控制，特別對(duì)SQL攻擊和違反企業(yè)規(guī)范的數(shù)據(jù)庫訪問行為進(jìn)行及時(shí)阻斷。

　　主要功能包括：

　　攻擊檢測和保護(hù)：實(shí)時(shí)檢測用戶對(duì)數(shù)據(jù)庫進(jìn)行SQL注入和緩沖區(qū)溢出的攻擊，并報(bào)警或者阻止攻擊行為，同時(shí)詳細(xì)記錄攻擊操作發(fā)生的時(shí)間、來源IP、用戶名、攻擊代碼等信息。

　　虛擬補(bǔ)?。和ㄟ^內(nèi)置的多種漏洞特征庫防止已知漏洞被利用，并有效降低數(shù)據(jù)庫被0day(還沒有補(bǔ)丁的漏洞)攻擊的風(fēng)險(xiǎn)。

　　屏蔽直接訪問數(shù)據(jù)庫的通道：數(shù)據(jù)庫防火墻部署于數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器之間，屏蔽直接訪問數(shù)據(jù)庫的通道，防止數(shù)據(jù)庫隱通道對(duì)數(shù)據(jù)庫的攻擊。

　　連接監(jiān)控：實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫的連接信息、風(fēng)險(xiǎn)狀態(tài)等。

　　多因子認(rèn)證：基于IP地址、MAC地址、用戶、應(yīng)用程序、時(shí)間等因子對(duì)訪問者進(jìn)行身份認(rèn)證，彌補(bǔ)單一口令認(rèn)證方式安全性的不足。應(yīng)用程序?qū)?shù)據(jù)庫的訪問，必須經(jīng)過數(shù)據(jù)庫防火墻和數(shù)據(jù)庫兩層身份認(rèn)證。

　　行為基線：系統(tǒng)將自動(dòng)學(xué)習(xí)每一個(gè)應(yīng)用的訪問語句，進(jìn)行模式提取和分類，自動(dòng)生成行為特征模型。系統(tǒng)通過檢查訪問行為與基線的偏差來識(shí)別風(fēng)險(xiǎn)。

　　安全審計(jì)：系統(tǒng)能夠記錄對(duì)數(shù)據(jù)庫服務(wù)器的訪問情況，包括用戶名、程序名、IP地址、請(qǐng)求的數(shù)據(jù)庫、連接/斷開的時(shí)間、風(fēng)險(xiǎn)等信息，并提供靈活的查詢分析功能。

　　有了防火墻的保護(hù)，數(shù)據(jù)庫因?yàn)樯鲜鰡栴}而引起的被攻擊的問題將會(huì)得到很好的解決，數(shù)據(jù)庫也不會(huì)因?yàn)檫@些問題而宕機(jī)，從而造成業(yè)務(wù)中斷。