大家都很清楚對于企業(yè)和政府而言，其數(shù)據(jù)庫所保存的數(shù)據(jù)非常重要，但讓人不解的是，這些數(shù)據(jù)庫安全卻總有種被莫名忽視的感覺，至少對于那些涉嫌數(shù)據(jù)被竊和泄漏而惹上官司的企業(yè)而言的確如此。 　　

這么說并不是有意要對企業(yè)挑選數(shù)據(jù)庫管理員挑刺而得罪整個(gè)IT行業(yè)，不過數(shù)據(jù)庫庫管理員和安全管理員確實(shí)需要進(jìn)行更進(jìn)一步的溝通，以便能夠改善對這些重要資源的安全問題，而不會(huì)對數(shù)據(jù)庫的性能產(chǎn)生影響。一個(gè)常見的約束就是由于相關(guān)的性能損耗太高而使數(shù)據(jù)庫管理員無法落實(shí)安全機(jī)制。本文的初衷并不是為了探討數(shù)據(jù)庫安全的多種內(nèi)在機(jī)制，也不是為了討論這些機(jī)制的優(yōu)劣。本文的目的是對如何在保護(hù)信息安全的同時(shí)轉(zhuǎn)移數(shù)據(jù)庫管理員保護(hù)數(shù)據(jù)庫安全的重?fù)?dān)，并且做到不過分影響數(shù)據(jù)庫兄性能提出一些建議。

在過去的幾年里，數(shù)據(jù)庫安全的問題已經(jīng)被卷入了信息安全問題的主流了，部分原因是資深的安全研究人員越來越多的把研究重點(diǎn)放在了數(shù)據(jù)庫安全問題上。他們的研究工作使包括一些著名的數(shù)據(jù)庫產(chǎn)品的一系列漏洞暴露在陽光底下，從數(shù)據(jù)庫軟件設(shè)計(jì)上的缺陷到傳統(tǒng)的緩沖區(qū)溢出。而且，他們的研究成果認(rèn)為一般而言，數(shù)據(jù)庫供應(yīng)商并不像操作系統(tǒng)供應(yīng)商那樣勤于發(fā)放補(bǔ)丁。

技術(shù)雖然并不是***藥，但卻是拯救數(shù)據(jù)庫安全的良藥。例如，像Guardium和Secerno這樣的公司都有提供數(shù)據(jù)庫防火墻，基于對基礎(chǔ)數(shù)據(jù)庫通訊全面認(rèn)識而實(shí)現(xiàn)對進(jìn)出數(shù)據(jù)庫的信息流的控制。

這些工具對傳遞到后端數(shù)據(jù)庫的SQL語句了如指掌，并能夠拒絕那些被認(rèn)為是危險(xiǎn)的SQL語句的運(yùn)行。如果你對于采用一項(xiàng)相對不夠成熟的技術(shù)指定訪問決策，以便能夠阻止對關(guān)鍵任務(wù)系統(tǒng)所依賴的信息的不良訪問感到有點(diǎn)不安，那么你可以在檢測模式下使用這些工具，直到你積累了足夠信任度為止。完全在數(shù)據(jù)庫管理員控制范圍之外的數(shù)據(jù)庫審計(jì)跟蹤本身可能成為目標(biāo)。實(shí)施更高度的職能分離比依賴數(shù)據(jù)庫內(nèi)在的審計(jì)功能要強(qiáng)的多。

此外，還有很多工具可以用來執(zhí)行數(shù)據(jù)庫的自動(dòng)安全審計(jì)。他們能適用于一般的數(shù)據(jù)庫，并能夠提供詳盡的安全漏洞報(bào)告，同時(shí)會(huì)提出補(bǔ)救行動(dòng)建議。

除了使用安全工具外，還要制定并執(zhí)行一些安全準(zhǔn)則，包括強(qiáng)化數(shù)據(jù)庫和主機(jī)，對數(shù)據(jù)庫管理員進(jìn)行適當(dāng)?shù)膶彶?，有效的用戶管理和定期打補(bǔ)丁等。本文所討論的工具能夠通過一些簡單的數(shù)據(jù)庫安全措施幫助減少你最寶貴的資產(chǎn)——數(shù)據(jù)庫資料失竊的風(fēng)險(xiǎn)。

【編輯推薦】

1. 數(shù)據(jù)庫安全管理的三個(gè)經(jīng)驗(yàn)分享
2. 專家談：確保安全數(shù)據(jù)庫審計(jì)成燃眉之急