導(dǎo)讀：如今，數(shù)據(jù)庫(kù)是黑客攻擊的主要對(duì)象，由于數(shù)據(jù)庫(kù)中儲(chǔ)存著大量的非常重要的數(shù)據(jù)，數(shù)據(jù)庫(kù)安全工作一定要做到很好，那么本文中將為大家介紹的數(shù)據(jù)庫(kù)安全工作的8個(gè)步驟分別是：發(fā)現(xiàn)、漏洞和配置評(píng)估、加強(qiáng)安全保護(hù)、變更審計(jì)、數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控(DAM)、審計(jì)、身份驗(yàn)證與訪問(wèn)控制和授權(quán)管理、加密。下文中將給出詳細(xì)的解析。

實(shí)現(xiàn)整體數(shù)據(jù)庫(kù)安全步驟：

1、保護(hù)數(shù)據(jù)庫(kù)并實(shí)現(xiàn)法規(guī)遵從

經(jīng)濟(jì)利益驅(qū)使下的攻擊、內(nèi)部人員的違法行為，以及各種法規(guī)要求正促使組織尋求新的途徑來(lái)保護(hù)他們的企業(yè)和客戶數(shù)據(jù)。

全球大部分敏感數(shù)據(jù)都存儲(chǔ)在商業(yè)數(shù)據(jù)庫(kù)中，比如 Oracle、 Microsoft SQL Server、IBM DB2和Sybase，這使數(shù)據(jù)庫(kù)日漸成為最主要的犯罪目標(biāo)。這也許可以解釋為什么在 2008年SQL注入攻擊數(shù)量猛增了 134%，從平均每天數(shù)千次增加到每天數(shù)十萬(wàn)次（根據(jù)IBM發(fā)布的報(bào)告）。

更嚴(yán)重的是，據(jù)Forrester報(bào)告，60%的企業(yè)沒(méi)有及時(shí)應(yīng)用數(shù)據(jù)庫(kù)安全性補(bǔ)丁，而據(jù) IBM分析，在2008年發(fā)現(xiàn)的所有 Web應(yīng)用漏洞中的74%（其中 SQL注入漏洞占絕大多數(shù)）到2008年末甚至還沒(méi)有可用的補(bǔ)丁。

“您無(wú)法防御未知的攻擊。您需要很好地安排您的敏感資產(chǎn)，無(wú)論是數(shù)據(jù)庫(kù)實(shí)例還是數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)。”

但是，在以前，絕大部分注意力都集中在保護(hù)網(wǎng)絡(luò)邊緣和客戶端系統(tǒng)上（防火墻、 IDS/IPS、反病毒軟件等）。我們現(xiàn)在正步入一個(gè)嶄新的階段，在這一階段里，信息安全專業(yè)人員的使命是，確保企業(yè)數(shù)據(jù)庫(kù)免遭破壞與未經(jīng)授權(quán)的操作。

以下列出了可同時(shí)保護(hù)數(shù)據(jù)庫(kù)和實(shí)現(xiàn)對(duì)關(guān)鍵法規(guī)（比如 SOX、PCI DSS、GLBA和數(shù)據(jù)保護(hù)法律）的遵從 的8項(xiàng)重要的最佳實(shí)踐。

您無(wú)法防御未知的攻擊。您需要很好地安排您的敏感數(shù)據(jù)，無(wú)論是數(shù)據(jù)庫(kù)實(shí)例還是數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)。而且，您應(yīng)該自動(dòng)化發(fā)現(xiàn)流程，因?yàn)槊舾袛?shù)據(jù)的位置不斷在變化，這源自于新的或修改的應(yīng)用、合并和收購(gòu)等因素。

有趣的是，一些發(fā)現(xiàn)工具還能夠發(fā)現(xiàn)SQL注入攻擊在您的數(shù)據(jù)庫(kù)中放置的惡意軟件。除了暴露機(jī)密信息，SQL注入漏洞還使攻擊者能夠在數(shù)據(jù)庫(kù)中嵌入其他攻擊代碼，然后攻擊訪問(wèn)網(wǎng)站的用戶。

2.漏洞和配置評(píng)估

您需要評(píng)估數(shù)據(jù)庫(kù)配置，確保它們不存在安全漏洞。這包括驗(yàn)證在操作系統(tǒng)上安裝數(shù)據(jù)庫(kù)的方式（比如檢查數(shù)據(jù)庫(kù)配置文件和可執(zhí)行程序的文件權(quán)限），以及驗(yàn)證數(shù)據(jù)庫(kù)自身內(nèi)部的配置選項(xiàng)（比如多少次登錄失敗之后鎖定帳戶，或者為關(guān)鍵表分配何種權(quán)限）。此外，您需要確認(rèn)您沒(méi)有運(yùn)行帶有已知漏洞的數(shù)據(jù)庫(kù)版本。

傳統(tǒng)網(wǎng)絡(luò)漏洞掃描程序并不是針對(duì)這一目的而設(shè)計(jì)的，因?yàn)樗鼈儧](méi)有嵌入關(guān)于數(shù)據(jù)庫(kù)結(jié)構(gòu)和預(yù)期行為的知識(shí)，它們也不能發(fā)起 SQL查詢（通過(guò)需要憑證的數(shù)據(jù)庫(kù)訪問(wèn)）來(lái)揭示數(shù)據(jù)庫(kù)配置信息。

3.加強(qiáng)保護(hù)

通過(guò)漏洞評(píng)估，得到的通常是一些具體的建議。這是加強(qiáng)數(shù)據(jù)庫(kù)保護(hù)的第一步。加強(qiáng)保護(hù)的其他要素還包括刪除不使用的所有功能和選項(xiàng)。

4.變更審計(jì)

一旦創(chuàng)建了加強(qiáng)了安全保護(hù)的配置，就必須持續(xù)跟蹤它，確保您沒(méi)有偏離您的“黃金”（安全）配置。可以通過(guò)變更審計(jì)工具來(lái)完成這一任務(wù)，這些工具能夠比較配置的快照（在操作系統(tǒng)和數(shù)據(jù)庫(kù)兩個(gè)級(jí)別上），并在發(fā)生可能影響數(shù)據(jù)庫(kù)安全的變更時(shí)，立即發(fā)出警告。

5.數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控

對(duì)于通過(guò)及時(shí)檢測(cè)入侵和誤用來(lái)限制信息暴露，實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)活動(dòng)非常重要。例如，DAM可以警告暗示著SQL注入攻擊的異常訪問(wèn)模式、對(duì)財(cái)務(wù)數(shù)據(jù)的未授權(quán)更改、帳戶特權(quán)提升，以及通過(guò)SQL命令執(zhí)行的配置變更。

監(jiān)控特權(quán)用戶也是SOX等數(shù)據(jù)治理法規(guī)和PCI DSS等數(shù)據(jù)隱私法規(guī)的一項(xiàng)要求。檢測(cè)入侵也很重要，因?yàn)楣艚?jīng)常會(huì)讓攻擊者獲得特權(quán)用戶訪問(wèn)權(quán)限（比如通過(guò)由您的業(yè)務(wù)應(yīng)用所有的憑證實(shí)現(xiàn)）。

DAM也是漏洞評(píng)估的一個(gè)重要要素，因?yàn)樗С帜絺鹘y(tǒng)靜態(tài)評(píng)估，以包括對(duì)“行為式漏洞”（比如多個(gè)用戶共享特權(quán)憑證或者數(shù)據(jù)庫(kù)登錄失敗次數(shù)過(guò)多）的動(dòng)態(tài)評(píng)估。

“不是所有數(shù)據(jù)和所有用戶都是使用同等的方式創(chuàng)建的。您必須對(duì)用戶進(jìn)行身份驗(yàn)證，確保每個(gè)用戶擁有完整的責(zé)任，并通過(guò)管理特權(quán)來(lái)限制對(duì)數(shù)據(jù)的訪問(wèn)。”

最后，一些DAM技術(shù)提供了應(yīng)用層監(jiān)控，允許您檢測(cè)通過(guò)多級(jí)應(yīng)用（比如 PeopleSoft、SAP和Oracle e-Business Suite）執(zhí)行的欺詐行為，而不是通過(guò)直接連接數(shù)據(jù)庫(kù)執(zhí)行的欺詐行為。

6.審計(jì)

必須為影響安全性狀態(tài)、數(shù)據(jù)完整性或敏感數(shù)據(jù)查看的所有數(shù)據(jù)庫(kù)活動(dòng)生成和維護(hù)安全、防否認(rèn)的審計(jì)線索。除了是一種重要的遵從性要求，擁有細(xì)粒度審計(jì)線索對(duì)于法庭調(diào)查也很重要。

幸運(yùn)的是，現(xiàn)在有了一類新的DAM解決方案，以極低的性能影響提供了細(xì)粒度、與DBMS獨(dú)立的審計(jì)，同時(shí)通過(guò)自動(dòng)化、集中的跨DBMS策略和審計(jì)存儲(chǔ)庫(kù)、過(guò)濾和壓縮降低了操作成本。

大部分組織目前都采用手動(dòng)審計(jì)形式，利用傳統(tǒng)的本機(jī)數(shù)據(jù)庫(kù)日志功能。但是，這些方法經(jīng)常難以實(shí)施，因?yàn)樗鼈儗?shí)施起來(lái)很復(fù)雜，而且手動(dòng)操作還具有很高的操作成本。其他缺點(diǎn)包括較高的性能開(kāi)銷、缺乏職責(zé)分離（因?yàn)镈BA可以輕松地篡改數(shù)據(jù)庫(kù)日志的內(nèi)容，進(jìn)而影響防否認(rèn)性），還需要購(gòu)買(mǎi)和管理大量存儲(chǔ)容量來(lái)處理大量未經(jīng)過(guò)濾的事物信息。

7.身份驗(yàn)證、訪問(wèn)控制和授權(quán)管理

不是所有數(shù)據(jù)和所有用戶都是使用同等的方式創(chuàng)建的。您必須對(duì)用戶進(jìn)行身份驗(yàn)證，確保每個(gè)用戶擁有完整的責(zé)任，并通過(guò)管理特權(quán)來(lái)限制對(duì)數(shù)據(jù)的訪問(wèn)。您還應(yīng)該強(qiáng)制實(shí)施這些特權(quán)，即使是對(duì)于特權(quán)最高的數(shù)據(jù)庫(kù)用戶。您還需要定期審核授權(quán)報(bào)告（也稱為用戶權(quán)利證明報(bào)告），將其作為正式審計(jì)流程的一部分。

8.加密

使用加密來(lái)以不可讀的方式呈現(xiàn)敏感數(shù)據(jù)，這樣攻擊者就無(wú)法從數(shù)據(jù)庫(kù)外部對(duì)數(shù)據(jù)進(jìn)行未授權(quán)訪問(wèn)。這包括對(duì)傳輸中的數(shù)據(jù)進(jìn)行加密，使攻擊者無(wú)法在網(wǎng)絡(luò)層竊聽(tīng)信息并在將數(shù)據(jù)發(fā)送到數(shù)據(jù)庫(kù)客戶端時(shí)訪問(wèn)數(shù)據(jù)，還包括對(duì)靜止數(shù)據(jù)進(jìn)行加密，使攻擊者無(wú)法提取數(shù)據(jù)，即使能夠訪問(wèn)媒體文件。
通過(guò)上文中介紹的這八步，就能夠輕松實(shí)現(xiàn)整體數(shù)據(jù)庫(kù)安全，對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)起到了很好的保護(hù)作用，相信在大家以后遇到數(shù)據(jù)庫(kù)安全問(wèn)題，本文將會(huì)幫助到大家。

【編輯推薦】

1. 提高Oracle數(shù)據(jù)庫(kù)系統(tǒng)性能方法匯總
2. 如何保證Web數(shù)據(jù)庫(kù)安全性
3. 數(shù)據(jù)庫(kù)安全防護(hù)幾點(diǎn)介紹
4. 選購(gòu)數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品的5大要素