數(shù)據(jù)庫安全漏洞可謂層出不窮，各公司的數(shù)據(jù)庫遭受損害的“好戲”仍在不斷上演。數(shù)據(jù)庫的安全問題未必是由數(shù)據(jù)庫本身引起的，來自其它網(wǎng)絡(luò)角落的漏洞也會給數(shù)據(jù)庫帶來風(fēng)險，如終端和第三方供應(yīng)商。本文將總結(jié)這些風(fēng)險和威脅，并提供規(guī)避風(fēng)險的新技巧和見解。

端點受害影響數(shù)據(jù)庫的安全性

雖然許多數(shù)據(jù)庫安全專家擔(dān)心內(nèi)部威脅和特權(quán)訪問，但如果一個端點感染了惡意軟件，就會對敏感數(shù)據(jù)的存儲帶來威脅?？此破匠５亩它c有可能成為黑客入侵敏感數(shù)據(jù)庫的入口。黑客可依賴簡單的社交工程在端點上建立立足點，從而為進一步的數(shù)據(jù)庫攻擊找到出路。

例如，一位粗心的員工訪問了一個不該訪問的網(wǎng)站或收到了一個看似來自某個朋友的郵件，單擊了其中的一個鏈接，然后該鏈接又引導(dǎo)他下載了一個惡意的惡意程序或間諜軟件。

此后，惡意軟件包分幾個不同的階段被安裝到電腦上，并且是從Web的多個位置組裝的。員工先下載了某個并不了解的惡意程序組件，然后此組件又通過訪問Web，進一步從其它服務(wù)器下載其它不同組件，重新組合，甚至在受害者電腦中重新編譯，最終形成極危險的惡意軟件。危險的惡意軟件可以先從網(wǎng)絡(luò)內(nèi)部進行探測，查找易受攻擊的數(shù)據(jù)庫和信息存儲。

為對付這種攻擊，數(shù)據(jù)庫活動的行為分析在檢測端點的異常行為方面更有效，因為一般情況下這種端點訪問數(shù)據(jù)庫信息的數(shù)量是有限的。

但是，今天的黑客都有一套自動化的方法來慢慢地透露信息，所以其行為與普通用戶非常類似。

當心第三方帶來的數(shù)據(jù)損害

云計算似乎無所不能，并日益流行，而作為外包服務(wù)的用戶卻應(yīng)當對安全感到憂心忡忡。如果一家公司要與另一家在線服務(wù)供應(yīng)商進行貿(mào)易，它應(yīng)該檢查對方的安全。

許多公司對于將認證交給云仍感到不踏實，除非公司對于供應(yīng)商及其安全性感到非常滿意。不幸的是，關(guān)于供應(yīng)商是否安全，并沒有什么權(quán)威性或?qū)W術(shù)性的標準，所以公司需要自己努力。

雖然要求處理信用卡和金融數(shù)據(jù)的公司都要遵循支付卡行業(yè)數(shù)據(jù)安全標準（PCI DSS），但我們卻沒有一套保護個人身份信息的標準。即使是使用與PCI相同標準的公司也未必能保證真正的安全。

如何應(yīng)對這種風(fēng)險？關(guān)鍵的一點是，維持客戶數(shù)據(jù)的公司應(yīng)當使用WEB應(yīng)用防火墻，并使用安全方法來開發(fā)軟件，對于關(guān)鍵服務(wù)器還要堅決使用白名單技術(shù)。

此外，處理信用卡數(shù)據(jù)和個人信息的公司還應(yīng)當限制能夠接觸數(shù)據(jù)的服務(wù)器和雇員的數(shù)量。通過將關(guān)鍵信息存儲到自己的服務(wù)器上，而不是將其交給第三方，公司就可以控制數(shù)據(jù)的保護。這里涉及的是Web2.0模式和整個云模式的問題，也許最佳的做法就是要把“好鋼用在刀刃上”，要減少控制范圍。

我們應(yīng)該學(xué)到什么？

為什么數(shù)據(jù)庫的安全損害常常一波未平，一波又起？原因很多，沒有打補丁、啟用不必要的數(shù)據(jù)庫功能、失效的配置管理、緩沖區(qū)溢出、特權(quán)升級、錯誤的加密策略、選擇了錯誤的第三方廠商等等。根據(jù)近年來的案例，我在這里總結(jié)幾個典型的數(shù)據(jù)庫安全教訓(xùn)。

首先，企業(yè)需要努力理解其數(shù)據(jù)庫的存儲位置，其中也包括測試數(shù)據(jù)庫，并且理解數(shù)據(jù)庫的配置情況。必須確保不能隨便地把最機密的信息連到網(wǎng)絡(luò)上。

其次，要不遺余力地監(jiān)視服務(wù)器和數(shù)據(jù)庫，這樣做有助于及早向管理員發(fā)出警告，并在數(shù)據(jù)庫遭到非法訪問時能夠提供更好的證據(jù)。

第三，檢查所使用的加密方法是否過于陳舊，特別是存儲在數(shù)據(jù)庫中的用戶口令是否使用了強加密，否則在數(shù)據(jù)庫遭到非法訪問后，用戶口令將被輕易破解。

第四，任何單位必須審查處理其數(shù)據(jù)的其它單位，看其如何處理數(shù)據(jù)庫和敏感信息。千萬不能把機密數(shù)據(jù)隨意交給并不了解其安全狀況的供應(yīng)商。

第五，任何單位都必須徹底清除共享口令，關(guān)閉前任雇員的賬戶，并監(jiān)視現(xiàn)有賬戶的異常行為。

當然，這些建議并不全面，要想真正解決數(shù)據(jù)庫的安全問題，關(guān)鍵是建立、實施一套健全的安全保障體系，特別是采取綜合治理、全面設(shè)防的方法。下面談的問題就與此有關(guān)。

改善安全：將數(shù)據(jù)庫的活動監(jiān)視（DAM）信息納入到安全信息和事件管理(SIEM)中

從過去上看，數(shù)據(jù)庫活動監(jiān)視（DAM）和安全信息及事件管理（SIEM）技術(shù)是分開工作的。但由于安全技術(shù)不斷改進,各種威脅不斷變化，這兩項技術(shù)之間的城墻開始消除。

為完整地洞察數(shù)據(jù)庫活動及其周邊環(huán)境，任何單位都需要將其數(shù)據(jù)庫活動監(jiān)視信息納入到一種安全信息及事件管理工具中。

如果一個客戶所做的事情只不過是監(jiān)視一個數(shù)據(jù)庫，那么，很明顯，沒有必要大張旗鼓地使用SIEM（安全信息及事件管理）。但是多數(shù)公司關(guān)注的問題很多，不僅僅是數(shù)據(jù)庫。其實，將數(shù)據(jù)庫活動監(jiān)視（DAM）與SIEM集成起來的最大好處是它提供的環(huán)境。

數(shù)據(jù)庫攻擊通常是更廣泛攻擊的一個方面。數(shù)據(jù)庫活動監(jiān)視無法監(jiān)視網(wǎng)絡(luò)通信、服務(wù)器配置、滲透企圖、用戶活動等諸多問題。而SIEM卻可以在這些廣泛的數(shù)據(jù)集中找到攻擊模式，當然，這需要對其進行配置，而數(shù)據(jù)庫信息就是一種數(shù)據(jù)源。

這種環(huán)境對于通過應(yīng)用程序監(jiān)視數(shù)據(jù)庫的訪問是相當重要的，顯然這要求應(yīng)用程序要與數(shù)據(jù)存儲進行綁定。

DAM產(chǎn)品的常見問題是多數(shù)客戶并沒有能夠直接與數(shù)據(jù)庫對話的應(yīng)用程序。雖然他們擁有某種應(yīng)用程序服務(wù)器，這個服務(wù)器運行著能夠與數(shù)據(jù)庫對話的應(yīng)用程序，而這種應(yīng)用程序服務(wù)器一般擁有一個與數(shù)據(jù)庫的連接。通過此連接，傳輸所有的應(yīng)用程序用戶請求。所以，這意味著應(yīng)用程序也許可以看到某個用戶登錄進入，并請求了一些客戶清單，但就數(shù)據(jù)庫所理解的而言，用戶只不過是稱為“應(yīng)用程序服務(wù)器”的東西。

將DAM信息與SIEM結(jié)合起來，有助于單位更容易地把某用戶在前端應(yīng)用程序上的操作與由應(yīng)用程序服務(wù)器直接發(fā)送給數(shù)據(jù)庫的查詢請求聯(lián)系起來。

單位調(diào)用應(yīng)用程序日志，將應(yīng)用程序日志發(fā)送給SIEM，將DAM日志也發(fā)送給SIEM，而SIEM將這兩者關(guān)聯(lián)起來。在同一時間點上，應(yīng)用程序記錄了用戶“張三”做了什么操作，而后DAM記錄了某個用戶執(zhí)行了一種查詢，查找了某類信息。所以SIEM可以將這兩者關(guān)聯(lián)起來，并得出結(jié)論認為“張三”做了什么操作。

將DAM整合到SIEM中的最大挑戰(zhàn)并非技術(shù)，因為DAM和SIEM的廠商們在過去的幾年不乏合作，其困難主要由內(nèi)部矛盾引起。

在將DAM與SIEM整合起來時，需要記住的是，DAM一般屬于數(shù)據(jù)庫團隊，而SIEM屬于安全小組。必須看到，讓這兩個團隊協(xié)同工作要比集成數(shù)據(jù)更為困難。其中一個老生常談的問題就是性能與安全的矛盾。為了讓整合更為平滑，單位必須做出折衷。

為什么會有整合問題？最重要的原因在于不同的部門負責(zé)人擁有不同的動機。數(shù)據(jù)庫管理員管理著數(shù)據(jù)庫，其任務(wù)就是確保數(shù)據(jù)庫快速運行，不發(fā)生故障。那么，如果你需要將來自外部安全或?qū)徲嫿M織的軟件加載到數(shù)據(jù)庫內(nèi)存中，并要求它提供日志，這勢必會影響數(shù)據(jù)庫的性能和穩(wěn)定性。此時，單位需要做出決策：要否要將其安裝到數(shù)據(jù)庫中呢？有沒有更好的數(shù)據(jù)庫安全方案？