數(shù)據(jù)庫安全，和其他所有安全問題一樣，都是圍繞減輕風(fēng)險的，而不是消除風(fēng)險，你不可能消除所有的風(fēng)險，但是你能夠控制這些風(fēng)險，以確保這些安全風(fēng)險不會給企業(yè)帶來麻煩。

假設(shè)你是攻擊企業(yè)網(wǎng)絡(luò)的惡意攻擊者，那么你首先會攻擊哪些數(shù)據(jù)呢？在大多數(shù)企業(yè)中，大量有價值的數(shù)據(jù)通常都位于相同的應(yīng)用中，即數(shù)據(jù)庫。

網(wǎng)絡(luò)中存在數(shù)百萬的數(shù)據(jù)庫，而大多數(shù)攻擊者都不是太挑剔，他們會直接選擇最不安全的數(shù)據(jù)庫下手。當(dāng)攻擊者將你設(shè)為攻擊目標(biāo)時，企業(yè)將面臨巨大的安全威脅。本文將探討如何通過三個步驟來保持數(shù)據(jù)庫的安全性以確保不成為網(wǎng)絡(luò)攻擊者的目標(biāo)。

第一個問題就是找到數(shù)據(jù)庫服務(wù)器本身。數(shù)據(jù)庫服務(wù)器最常見的位置是在數(shù)據(jù)中心，在數(shù)據(jù)中心的數(shù)據(jù)庫通常都有日志記錄，也更加安全。不過也有很多數(shù)據(jù)庫服務(wù)器出現(xiàn)在企業(yè)的其他部分，包括研究和開發(fā)實驗室、測試環(huán)境和嵌入式系統(tǒng)等。

找出這些數(shù)據(jù)庫服務(wù)器并分析這些數(shù)據(jù)庫服務(wù)器所存儲的信息是管理安全風(fēng)險和保護企業(yè)最重要數(shù)據(jù)的第一個步驟，在測試環(huán)境映射生產(chǎn)服務(wù)器并不罕見，很多測試環(huán)境都存儲著與生產(chǎn)環(huán)境相同的重要信息。研發(fā)團隊通常在沒有告知IT團隊或者尋求IT團隊幫助的情況下就安裝服務(wù)區(qū)，所以發(fā)現(xiàn)包含重要研究信息的服務(wù)器并不罕見。

找到包含重要數(shù)據(jù)的數(shù)據(jù)庫服務(wù)器后，第二個步驟就是鎖定這些數(shù)據(jù)庫服務(wù)器。實現(xiàn)這個步驟主要有三個要素：防火墻、漏洞修復(fù)和Web應(yīng)用程序。數(shù)據(jù)庫服務(wù)器并不需要被企業(yè)的每個工作站訪問，當(dāng)然這也可能存在例外，但不太可能?；c時間為數(shù)據(jù)庫服務(wù)器部署合適的防火墻，確保服務(wù)器只能與必要的系統(tǒng)通信，并記住縱深防御的方法：在網(wǎng)絡(luò)、主機和應(yīng)用程序級別制定規(guī)則。

適當(dāng)限制對數(shù)據(jù)庫服務(wù)器的訪問權(quán)限肯定能夠減少攻擊面，但這并不意味著可以不用修復(fù)補丁。很多調(diào)查都發(fā)現(xiàn)，數(shù)據(jù)庫管理員沒有定期修復(fù)數(shù)據(jù)庫系統(tǒng)的補丁。對于安全來說，定期修復(fù)補丁絕對是有必要的，這樣不至于因為幾個月前未修復(fù)的漏洞而受到攻擊。建立一個測試環(huán)境，然后修復(fù)補丁，確認補丁修復(fù)，然后修復(fù)生產(chǎn)環(huán)境的補丁。

Web應(yīng)用程序給數(shù)據(jù)庫安全問題帶來了新的考驗，web應(yīng)用承諾工序需要將數(shù)據(jù)傳上網(wǎng)絡(luò)，并且讓數(shù)據(jù)庫后端為其提供支持，這些已經(jīng)產(chǎn)生了數(shù)百萬條敏感數(shù)據(jù)記錄。SQL注入攻擊是2010年OWASP前十名最具攻擊性的攻擊之首，SQL注入攻擊可以允許攻擊者僅使用Web瀏覽器就可以從數(shù)據(jù)庫讀取、修改和刪除數(shù)據(jù)。

如果你的web應(yīng)用程序是由數(shù)據(jù)庫提供支持的，那么你需要為web應(yīng)用程序的開發(fā)生命周期部署安全編碼，并且當(dāng)任何時候引入新代碼時，都會對web應(yīng)用程序執(zhí)行漏洞評估分析。

新攻擊方式和新漏洞層出不窮。新的安全工具也一直在開發(fā)中，例如近日在歐洲黑帽大會上推出的Poet。在你的web應(yīng)用程序登上下一個數(shù)據(jù)泄漏報告前，花點時間來加強web應(yīng)用程序的安全性是非常有必要的。

最后但并非最不重要的一點，開啟審計功能。很多企業(yè)僅用審計功能以努力提高數(shù)據(jù)庫服務(wù)器的性能，如果性能是企業(yè)關(guān)注的主要問題的話，那么可以考慮使用數(shù)據(jù)庫活動監(jiān)控解決方案來為企業(yè)提供審計和其他功能。關(guān)閉審計功能會加大調(diào)查數(shù)據(jù)泄漏原因的難度，并且會影響企業(yè)的合規(guī)。

做好數(shù)據(jù)庫的安全問題的保障工作，才能確保數(shù)據(jù)庫中數(shù)據(jù)信息的安全，希望大家通過上文的學(xué)習(xí)之后，做好數(shù)據(jù)庫安全加強工作，這在大家以后的工作中會是非常有用的。