數(shù)據(jù)庫(kù)安全工具的用途異常廣泛，提供了安全、合規(guī)、甚至運(yùn)營(yíng)等方面的好處。這些產(chǎn)品可從第三方獲得，提供的數(shù)據(jù)庫(kù)安全級(jí)別遠(yuǎn)高于關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)(RDBMS)廠商為客戶提供的安全級(jí)別。

對(duì)數(shù)據(jù)庫(kù)評(píng)估(又叫數(shù)據(jù)庫(kù)安全漏洞評(píng)估)、加密、數(shù)據(jù)庫(kù)合規(guī)和測(cè)試數(shù)據(jù)管理、標(biāo)記化和數(shù)據(jù)屏蔽等領(lǐng)域的數(shù)據(jù)庫(kù)工具來(lái)說(shuō)，尤其如此。

下面是企業(yè)常常使用安全附件來(lái)加強(qiáng)數(shù)據(jù)庫(kù)安全的幾種典型的使用場(chǎng)合和方式。由于數(shù)據(jù)庫(kù)用來(lái)支持企業(yè)內(nèi)部幾乎每一種應(yīng)用程序和業(yè)務(wù)職能，你會(huì)發(fā)現(xiàn)數(shù)據(jù)庫(kù)無(wú)處不在。正是由于具有如此多樣的用途，我們發(fā)現(xiàn)對(duì)數(shù)據(jù)庫(kù)安全的要求同樣多樣化。

第一種使用場(chǎng)合：合規(guī)

合規(guī)無(wú)疑是推動(dòng)數(shù)據(jù)庫(kù)安全開支的最大因素，這也是為什么大多數(shù)公司只把附加的安全技術(shù)部署到監(jiān)管部門審查范圍之內(nèi)的那些數(shù)據(jù)庫(kù)上。監(jiān)管法規(guī)往往分為兩個(gè)不同方面：受《薩班斯-奧克斯利法案》驅(qū)動(dòng)的反欺詐和確?？蛻綦[私的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，后者受《金融服務(wù)現(xiàn)代化法》及諸多州隱私保護(hù)法規(guī)的驅(qū)動(dòng)。

數(shù)據(jù)庫(kù)安全還受與合規(guī)有關(guān)的第三個(gè)因素：成本削減的驅(qū)動(dòng)。為數(shù)據(jù)庫(kù)或數(shù)據(jù)庫(kù)管理的數(shù)據(jù)確保安全常常比為與這些數(shù)據(jù)庫(kù)相關(guān)聯(lián)的所有應(yīng)用程序和網(wǎng)絡(luò)確保安全來(lái)得容易，而且省錢。

用來(lái)滿足合規(guī)的數(shù)據(jù)庫(kù)安全工具五花八門。比如：

•評(píng)估掃描工具可定期檢測(cè)范圍內(nèi)的數(shù)據(jù)庫(kù)，查找已知的安全漏洞和(內(nèi)部)策略合規(guī)。一些監(jiān)管法規(guī)要求定期評(píng)估數(shù)據(jù)庫(kù)，以查找安全問(wèn)題、策略(配置)合規(guī)或兩者。

•權(quán)限審計(jì)，查明職務(wù)劃分是否落實(shí)到位，并尋找權(quán)限申請(qǐng)過(guò)度的情況，這由各監(jiān)管法規(guī)定義。雖然所有安全漏洞工具能在某種程度上評(píng)估數(shù)據(jù)庫(kù)平臺(tái)，但不是針對(duì)數(shù)據(jù)庫(kù)的工具都無(wú)法執(zhí)行這項(xiàng)任務(wù)：有資格地掃描和評(píng)估用戶權(quán)限?，F(xiàn)在某些監(jiān)管法規(guī)要求這么做，確保用戶無(wú)法在指定范圍之外操作，并且發(fā)現(xiàn)用戶被分配多個(gè)角色等問(wèn)題，這會(huì)導(dǎo)致利益沖突。這可以手動(dòng)評(píng)估，但是如果有工具可以使用，那么使用工具高效得多。

•數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控(DAM)以監(jiān)控特權(quán)用戶，這常常是在合規(guī)項(xiàng)目使用DAM產(chǎn)品的最大一個(gè)原因。這會(huì)生成登錄/退出報(bào)告，還能跟蹤所有的系統(tǒng)活動(dòng)，并提醒管理員和一小部分特權(quán)用戶何時(shí)查看了敏感信息。

•使用DAM用于綜合的合規(guī)報(bào)告，覆蓋多個(gè)數(shù)據(jù)庫(kù)和應(yīng)用程序。安全信息和事件管理(SIEM)平臺(tái)并不收集必要的事件，內(nèi)置的數(shù)據(jù)庫(kù)工具并不提供跨數(shù)據(jù)庫(kù)統(tǒng)一收集事件或策略執(zhí)行這種功能。策略級(jí)報(bào)告表明，控制措施落實(shí)到位，而其他報(bào)告提供了驗(yàn)證控制措施必不可少的審計(jì)跟蹤記錄。大多數(shù)數(shù)據(jù)庫(kù)安全工具包括這類報(bào)告，滿足眾多主要監(jiān)管法規(guī)的需要，還有針對(duì)特定行業(yè)的定制格式。

•標(biāo)記化和數(shù)據(jù)屏蔽，移除了敏感數(shù)據(jù)，因而將數(shù)據(jù)庫(kù)從合規(guī)范圍移除出去。如果敏感數(shù)據(jù)換成非敏感數(shù)據(jù)，合規(guī)需求同樣被移除。

第二種使用場(chǎng)合：Web應(yīng)用程序安全

SQL注入攻擊是一種針對(duì)數(shù)據(jù)庫(kù)發(fā)動(dòng)的攻擊。 雖然攻擊通過(guò)應(yīng)用程序進(jìn)入，但這是一種數(shù)據(jù)庫(kù)攻擊，它仍是過(guò)去十年三種最常見的攻擊途徑之一。幾乎所有的Web應(yīng)用程序都由數(shù)據(jù)庫(kù)來(lái)支持，但由于面向公眾的是應(yīng)用程序，應(yīng)用程序開發(fā)人員常常事先并未考慮到數(shù)據(jù)庫(kù)，對(duì)它未加保護(hù)。雖然Web應(yīng)用防火墻可以阻止一些SQL注入攻擊，但是一個(gè)主要局限是，它們未必明白所要保護(hù)的數(shù)據(jù)庫(kù)，所以往往出現(xiàn)誤報(bào)和漏報(bào)。

DAM產(chǎn)品和數(shù)據(jù)庫(kù)防火墻可以解決這些問(wèn)題，不需要?jiǎng)诿鼈?cái)?shù)刂貙憫?yīng)用程序代碼，即可排除SQL注入攻擊和腳本安全漏洞。改寫企業(yè)應(yīng)用程序以處理安全問(wèn)題的成本常常超過(guò)最初開發(fā)應(yīng)用程序的成本;而在其他情況下，按照現(xiàn)有的人員數(shù)量，不可能在短時(shí)期內(nèi)拿出修正版。這就是為什么許多公司尋找可應(yīng)對(duì)這些攻擊的附加工具。

比如說(shuō)，只要新的查詢或模式出現(xiàn)，查詢白名單就會(huì)提醒管理員，或者明白應(yīng)用程序應(yīng)該發(fā)送什么數(shù)據(jù)、自動(dòng)阻止之外的任何數(shù)據(jù)。市面上的一些工具甚至能將違規(guī)情況返回給Web應(yīng)用程序防火墻，或者提醒，或者終止可疑會(huì)話，甚至阻止行為不端的IP地址。

第三種使用場(chǎng)合：變更管理和內(nèi)部審計(jì)

關(guān)鍵數(shù)據(jù)庫(kù)在補(bǔ)丁和升級(jí)過(guò)程中因糟糕的變更管理而出現(xiàn)故障比因攻擊而出現(xiàn)故障更為常見。不像應(yīng)用程序代碼變更，管理員通常徑直進(jìn)入到生產(chǎn)數(shù)據(jù)庫(kù)，直接處理數(shù)據(jù)，很容易引起停運(yùn)。增添DAM支持的閉環(huán)變更管理(也就是故障單系統(tǒng))可減少糟糕變更的可能性，并且大大加深了問(wèn)責(zé)制，即便使用共享的登錄信息。

評(píng)估工具可以掃描數(shù)據(jù)庫(kù)，讓安全團(tuán)隊(duì)和合規(guī)團(tuán)隊(duì)可以驗(yàn)證數(shù)據(jù)庫(kù)管理員盡到了本職工作。DAM用于閉環(huán)驗(yàn)證：管理員的操作對(duì)應(yīng)于特定的變更故障單，而監(jiān)控機(jī)制表明了每個(gè)SQL命令的完整日志――還常常返回值。

DAM通常用于事件收集和分析，為合規(guī)報(bào)告和SIEM系統(tǒng)提供數(shù)據(jù)基礎(chǔ)，那樣審計(jì)團(tuán)隊(duì)擁有所需的事件數(shù)據(jù)。而越來(lái)越多的公司在使用DAM和動(dòng)態(tài)屏蔽技術(shù)，保護(hù)這些系統(tǒng)遠(yuǎn)離惡意查詢，那樣不用更改應(yīng)用程序或支持性數(shù)據(jù)庫(kù)，就可以實(shí)施安全策略。

如果一些公司擔(dān)心內(nèi)部竊取和欺詐，這后一種驗(yàn)證讓非數(shù)據(jù)庫(kù)管理員能夠全面了解數(shù)據(jù)庫(kù)維護(hù)和補(bǔ)丁方面所做的工作。

第四種使用場(chǎng)合：遺留數(shù)據(jù)庫(kù)安全

說(shuō)實(shí)話，內(nèi)部的許多數(shù)據(jù)庫(kù)是在沒人考慮數(shù)據(jù)或數(shù)據(jù)庫(kù)安全軟件的情況下就倉(cāng)促設(shè)計(jì)和部署的。設(shè)計(jì)的這些數(shù)據(jù)庫(kù)依賴危險(xiǎn)的因素，比如外部存儲(chǔ)的程序，或者使用社會(huì)保障號(hào)碼作為主要的數(shù)據(jù)庫(kù)密鑰。但是這些數(shù)據(jù)庫(kù)實(shí)例依然存在，因?yàn)樗鼈冎С株P(guān)鍵的業(yè)務(wù)流程。問(wèn)題在于，就算企業(yè)能找到仍非常清楚遺留系統(tǒng)的工作原理而改造遺留應(yīng)用程序的人員，而且獲得了這方面所需的預(yù)算，軟硬件仍是太陳舊了，你只要碰一下系統(tǒng)，它們就出現(xiàn)故障。

數(shù)據(jù)庫(kù)安全工具日益關(guān)注的方面之一是遺留數(shù)據(jù)庫(kù)安全。這些尤其適合這種場(chǎng)合：企業(yè)因所需的變更會(huì)引起數(shù)據(jù)庫(kù)停止運(yùn)行而無(wú)法為數(shù)據(jù)庫(kù)服務(wù)器確保安全。

誰(shuí)會(huì)得益于數(shù)據(jù)庫(kù)安全軟件?

對(duì)大多數(shù)企業(yè)來(lái)說(shuō)，它們根本不會(huì)詢問(wèn)自己是否需要保護(hù)關(guān)系數(shù)據(jù)庫(kù)或RDBMS。畢竟，一連串的數(shù)據(jù)泄密事件和合規(guī)要求已解決了這個(gè)問(wèn)題。

與此同時(shí)，企業(yè)組織還發(fā)現(xiàn)網(wǎng)絡(luò)和端點(diǎn)安全產(chǎn)品并沒有保護(hù)到數(shù)據(jù)庫(kù)。他們還痛苦地發(fā)現(xiàn)，RDBMS廠商的普通的安全產(chǎn)品聲稱可保護(hù)到數(shù)據(jù)庫(kù)，卻提供了不夠標(biāo)準(zhǔn)的策略和良莠不齊的事件收集功能。實(shí)際上，普通產(chǎn)品無(wú)法區(qū)別正常使用和惡意使用，也無(wú)法足夠有效地評(píng)估配置和補(bǔ)丁級(jí)別，因?yàn)樗鼈內(nèi)鄙贁?shù)據(jù)和分析功能。

讓這個(gè)問(wèn)題復(fù)雜化的是，需要這些數(shù)據(jù)的利益相關(guān)方(比如安全團(tuán)隊(duì)和內(nèi)部審計(jì)團(tuán)隊(duì))缺少收集數(shù)據(jù)的技術(shù)經(jīng)驗(yàn)。IT和數(shù)據(jù)庫(kù)管理員又不愿改動(dòng)應(yīng)用程序或數(shù)據(jù)庫(kù)，生怕破壞這些系統(tǒng)的穩(wěn)定性。

數(shù)據(jù)庫(kù)安全工具在這方面提供了實(shí)實(shí)在在的好處;它們讓用戶可以提供所需的安全和審計(jì)，又不用更改實(shí)際數(shù)據(jù)庫(kù)，也不會(huì)給數(shù)據(jù)庫(kù)的性能帶來(lái)負(fù)面影響。真正的挑戰(zhàn)在于，選擇合適的數(shù)據(jù)庫(kù)安全軟件，以解決企業(yè)面臨的問(wèn)題，我們會(huì)在下一篇文章中探討這方面。

英文：Four enterprise scenarios for deploying database security tools