【51CTO.COM 獨家翻譯】確保任何關(guān)系數(shù)據(jù)庫的安全并非易事，更用不說像甲骨文數(shù)據(jù)庫這么極其龐大、功能豐富的數(shù)據(jù)庫了。這款產(chǎn)品有眾多不同的部署方式，再加上諸多安裝的遺留版本，幾乎不可能識別及防范每一個潛在的威脅。甲骨文數(shù)據(jù)庫連接至Web應(yīng)用程序，這帶來了充滿變數(shù)的開源和第三方軟件，因而最終用戶企業(yè)就更容易受到攻擊了。

不過，并不是用戶不可能駕馭甲骨文數(shù)據(jù)庫，特別是借助甲骨文公司最近發(fā)布的一些新工具。下面不妨看一下甲骨文數(shù)據(jù)庫用戶面臨的幾個安全難題，以及應(yīng)對難題的一些方法。

第一大難題：打補丁

在過去，甲骨文在給需要引起注意的安全漏洞及時打上補丁方面表現(xiàn)很糟糕。因備受關(guān)注的漏洞披露，加上客戶強烈抗議，這家公司于是改變了做法。甲骨文在實質(zhì)性披露漏洞風(fēng)險方面仍顯得滯后，無疑沒有以一種其客戶能夠明白的語言來告知風(fēng)險，而且通常也不提供變通方法。不過，它發(fā)布安全補丁的確比幾年前要及時得多。

但任何甲骨文數(shù)據(jù)庫管理員都會告訴你，安裝甲骨文補丁很難，特別是由于系統(tǒng)常常需要在打上補丁后重啟；而許多業(yè)務(wù)功能圍繞甲骨文數(shù)據(jù)庫這個核心系統(tǒng)來運行。

停掉數(shù)據(jù)庫以便打補丁可不是唯一的問題；對數(shù)據(jù)庫功能進(jìn)行改動也會導(dǎo)致副作用央及整個企業(yè)。大多數(shù)數(shù)據(jù)庫管理員在安裝補丁后都會遇到嚴(yán)重的數(shù)據(jù)庫崩潰，不得不完成隨后的清除過程。

第二大難題：部署復(fù)雜性

無論是中型企業(yè)還是大企業(yè)，許多企業(yè)都在積極采用虛擬化技術(shù)，旨在改進(jìn)服務(wù)、提高靈活性和冗余性，同時降低運營成本。網(wǎng)格系統(tǒng)把可擴展性和負(fù)載均衡推向了新的水平。而安裝云架構(gòu)成為了現(xiàn)實，甲骨文數(shù)據(jù)庫作為一項服務(wù)來提供。

這每一種新的部署模式都會帶來威脅途徑。由于安裝了多節(jié)點、虛擬和復(fù)制的系統(tǒng)，因而大大加強了核實配置設(shè)置的難度。想核實補丁、訪問控制設(shè)置和識別配置不當(dāng)?shù)臋C器，也困難得多。

此外，許多攻擊者偷偷篡改配置設(shè)置，這些設(shè)置直到數(shù)據(jù)庫重啟后才會生效。篡改和隨后的攻擊極難被發(fā)覺，更不用說發(fā)現(xiàn)彼此之間的聯(lián)系了。

第三大難題：Web應(yīng)用程序

保護(hù)專有的Web應(yīng)用程序是一個更大的難題，因為與仁科、Siebel和甲骨文財務(wù)軟件等商業(yè)產(chǎn)品不一樣，Web應(yīng)用程序是結(jié)合了復(fù)雜的開源軟件和第三方服務(wù)開發(fā)而成的。網(wǎng)頁通常具有動態(tài)性，所以每個用戶體驗都略有不同，因而使得應(yīng)用程序的安全測試顯得更困難了。

結(jié)果就是，你根本無法用一般的評估和審計產(chǎn)品來保護(hù)Web應(yīng)用程序的安全。安全工具需要大量的定制工作，而Web應(yīng)用程序需要比商用軟件更全面深入的測試和認(rèn)證。

第四大難題：廣泛的威脅范圍

甲骨文數(shù)據(jù)庫提供了數(shù)量眾多的功能和選項，因而面臨更大的威脅范圍，這讓攻擊者有機會瞄向多得多的目標(biāo)。甲骨文數(shù)據(jù)庫標(biāo)配的許多功能是許多公司很少使用的。而幾乎每一個甲骨文軟件包的安全都曾經(jīng)受到過危及。

由于甲骨文軟件包兼顧眾多不同的用例（use case），所以沒有什么所謂安全的默認(rèn)配置。默認(rèn)的甲骨文數(shù)據(jù)庫配置并不安全，所以用戶得抽些時間來取消自己不需要的功能；還要在數(shù)據(jù)庫投入生產(chǎn)環(huán)境之前，核實用戶、平臺和應(yīng)用程序等方面的安全措施已落實到位。

第五大難題：安裝的遺留版本

不是每個甲骨文的客戶都使用版本11的數(shù)據(jù)庫。實際上，絕大多數(shù)客戶使用比較舊的版本。一大部分甲骨文客戶仍使用版本8和9。甲骨文數(shù)據(jù)庫功能穩(wěn)定，所以客戶并不急于將錢投入到升級上。

但這些版本是在大多數(shù)人聽說緩沖器溢出攻擊或遠(yuǎn)程漏洞之前設(shè)計和開發(fā)的。許多已知的安全威脅已通過補丁得到了消除--假如它們都已經(jīng)向后移植（backport），但這些舊版本數(shù)據(jù)庫缺少密碼管理、加密、數(shù)據(jù)庫管理員角色隔離和審計等方面的一些改進(jìn)。

同樣，使用舊版本甲骨文數(shù)據(jù)庫的遺留應(yīng)用系統(tǒng)并沒有內(nèi)置安全功能，比如控制系統(tǒng)、自主開發(fā)的應(yīng)用系統(tǒng)、大型機連接器和SAP R3等系統(tǒng)。應(yīng)用系統(tǒng)與數(shù)據(jù)庫之間有著相互依賴的關(guān)系，依靠外部安全服務(wù)來檢測和防范威脅。

盡管面臨上述難題，但甲骨文公司還是在提供一套越來越可靠的安全功能和應(yīng)用軟件。如果公司企業(yè)充分利用好這些工具，就對保護(hù)自己的甲骨文數(shù)據(jù)庫大有幫助。

來源：http://www.darkreading.com/database-security/167901020/security/application-security/228300490/the-top-five-challenges-in-securing-oracle-databases.html

【51CTO.com獨家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. 用數(shù)據(jù)庫安全策略防止權(quán)限升級攻擊
2. 優(yōu)秀企業(yè)數(shù)據(jù)庫安全策略所具備的四個要點
3. 企業(yè)數(shù)據(jù)庫安全失效的五大原因匯總
4. 數(shù)據(jù)庫安全之MSSQL數(shù)據(jù)庫防注入