本文介紹了關(guān)系型數(shù)據(jù)庫系統(tǒng)的定義和設(shè)計(jì)原理，目前軟件市場上主流關(guān)系型數(shù)據(jù)庫的使用情況，重點(diǎn)分析了數(shù)據(jù)庫安全漏洞被黑客攻擊的風(fēng)險(xiǎn)，互聯(lián)網(wǎng)普遍使用的開源數(shù)據(jù)庫MySQL 5.7的升級特點(diǎn)，數(shù)據(jù)庫漏洞掃描對這個新版本的檢查支持。

2017年6月10日，第三屆PHP全球開發(fā)者大會在京舉辦，會上，關(guān)于《MySQL 5.7優(yōu)化不求人》的演講滿滿干貨，頗受好評。提到MySQL數(shù)據(jù)庫，我們過去的印象是中小企業(yè)為了節(jié)約成本會使用MySQL，但慢慢我們發(fā)現(xiàn)，很多大型的網(wǎng)站均應(yīng)用了MySQL數(shù)據(jù)庫，這種開源的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)也因其速度、可靠性和適應(yīng)性而備受關(guān)注。大多數(shù)人都認(rèn)為在不需要事務(wù)化處理的情況下，MySQL是管理內(nèi)容最好的選擇。由此可見，其發(fā)展前景非常光明。

今天，我們沿著“關(guān)系型數(shù)據(jù)庫管理系統(tǒng)→主流關(guān)系型數(shù)據(jù)庫及安全漏洞→MySQL數(shù)據(jù)庫版本及特性→數(shù)據(jù)庫漏洞掃描對MySQL5.7的支持”的思路為MySQL數(shù)據(jù)庫使用者做一番淺梳理，并重點(diǎn)關(guān)注數(shù)據(jù)庫安全防護(hù)的事前階段——漏洞掃描，以此安全視角來談一談MySQL 5.7的安全應(yīng)用第一步。

數(shù)據(jù)庫管理系統(tǒng)通常會選擇某種“數(shù)學(xué)模型”存儲、組織、管理數(shù)據(jù)庫中的數(shù)據(jù)，常用的數(shù)據(jù)模型包括“層次模型”、“網(wǎng)狀模型”、“關(guān)系模型”以及“面向?qū)ο竽Ｐ?rdquo;等?；?ldquo;關(guān)系模型”的數(shù)據(jù)庫管理系統(tǒng)稱為關(guān)系數(shù)據(jù)庫管理系統(tǒng)(Relational Database Management System，RDBMS)。隨著關(guān)系數(shù)據(jù)庫管理系統(tǒng)的日臻完善，目前關(guān)系型數(shù)據(jù)庫管理系統(tǒng)已占據(jù)主導(dǎo)地位。

為了建立冗余較小、結(jié)構(gòu)合理的數(shù)據(jù)庫，設(shè)計(jì)數(shù)據(jù)庫時必須遵循一定的規(guī)則，在關(guān)系型數(shù)據(jù)庫中這種規(guī)則就稱為范式。數(shù)據(jù)庫設(shè)計(jì)的三大范式是數(shù)據(jù)庫需要滿足的規(guī)范，滿足這些規(guī)范的數(shù)據(jù)庫是簡潔的、結(jié)構(gòu)明晰的，同時不會發(fā)生插入(insert)、刪除(delete)和更新(update)操作異常。第一范式(1NF)是指數(shù)據(jù)庫表的每一列都是不可分割的基本數(shù)據(jù)項(xiàng)[確保每列保持原子性]，第二范式(2NF)屬性完全依賴于主鍵 [ 消除部分子函數(shù)依賴 ]，第三范式(3NF)屬性不依賴于其它非主屬性 [ 消除傳遞依賴 ]。通常使用實(shí)體關(guān)系圖來建立數(shù)據(jù)模型，其中包含了實(shí)體(既數(shù)據(jù)對象)、關(guān)系和屬性三種基本成分。

2主流關(guān)系型數(shù)據(jù)庫及安全漏洞

通過關(guān)系數(shù)據(jù)庫管理系統(tǒng)，數(shù)據(jù)庫開發(fā)人員可以輕而易舉地創(chuàng)建關(guān)系數(shù)據(jù)庫，并在該數(shù)據(jù)庫中創(chuàng)建各種數(shù)據(jù)庫對象(表、索引、視圖、存儲過程、觸發(fā)器、函數(shù)等)以及維護(hù)各種數(shù)據(jù)庫對象。目前成熟的關(guān)系數(shù)據(jù)庫管理系統(tǒng)主要源自歐美數(shù)據(jù)庫廠商，典型的有美國微軟公司的SQL Server、美國IBM公司的DB2和Informix，德國SAP公司的Sybase，美國甲骨文公司的Oracle，然而這些數(shù)據(jù)庫都是商業(yè)數(shù)據(jù)庫，且價(jià)格昂貴。國產(chǎn)數(shù)據(jù)庫雖然已有核心部門(如金融銀行、移動通信、石油電力等)應(yīng)用，在軟件成熟度和功能上國產(chǎn)數(shù)據(jù)庫尚未成為主流的應(yīng)用，核心單位在“享受著”國外數(shù)據(jù)庫廠商提供服務(wù)的同時，不得不將核心部門的信息交由國外數(shù)據(jù)庫管理，企業(yè)的核心數(shù)據(jù)、核心部門的機(jī)密數(shù)據(jù)不安全因素劇增。

CVE(全球漏洞庫)和CNNVD(中國國家漏洞庫)已公布了各種數(shù)據(jù)庫漏洞總共2000多個，國外數(shù)據(jù)庫存在后門，國產(chǎn)數(shù)據(jù)庫也有安全漏洞，安華金和數(shù)據(jù)庫攻防實(shí)驗(yàn)室已向CNNVD提交了國內(nèi)外數(shù)據(jù)庫漏洞的研究成果。雖然數(shù)據(jù)庫廠商據(jù)此提供了大量補(bǔ)丁包，但這些補(bǔ)丁包所修復(fù)的漏洞數(shù)量也是有限的，同時大量的應(yīng)用系統(tǒng)出于系統(tǒng)穩(wěn)定性和兼容性的原因也無法實(shí)現(xiàn)補(bǔ)丁升級。同時，國外漏洞掃描滲透軟件Metasploit、Nessus工具，國內(nèi)DBHacker數(shù)據(jù)庫漏洞驗(yàn)證工具，使黑客利用這些漏洞對數(shù)據(jù)庫攻擊不再是難事。

3MySQL數(shù)據(jù)庫版本及特性

2001年，中國加入世貿(mào)組織(WTO)以來，中國政府越來越重視數(shù)據(jù)安全、版權(quán)制度建設(shè)以及知識產(chǎn)權(quán)的保護(hù)。MySQL就是一種開源數(shù)據(jù)庫軟件，而且具有功能強(qiáng)大等特點(diǎn)。很多企業(yè)將MySQL作為首選數(shù)據(jù)庫管理系統(tǒng)，MySQL成為了全球最受歡迎的數(shù)據(jù)庫管理系統(tǒng)之一。目前，淘寶、百度、新浪已經(jīng)將部分業(yè)務(wù)數(shù)據(jù)遷移到MySQL數(shù)據(jù)庫中，MySQL的應(yīng)用前景可觀。

MySQL數(shù)據(jù)庫常見的版本有5.0、5.6、5.7和6.0，一般大家會認(rèn)為6.0版本是最新的，但是MySQL 6.0是2009年出現(xiàn)的版本版，2009年4月20日甲骨文收購Sun公司，現(xiàn)在看官網(wǎng)上已經(jīng)不提供mysql6.0的下載，而且6.0安裝界面風(fēng)格明顯要老一點(diǎn)，估計(jì)Sun被收購了之后，版本號重定了。

MySQL數(shù)據(jù)庫可以采用插件的方式支持不同的存儲引擎。常用的存儲引擎有兩種：MyISAM和InnoDB。從MySQL5.6版本開始，InnoDB存儲引擎的表已經(jīng)支持全文索引和事務(wù)安全，既InnoDB給MySQL提供了具有事務(wù)(commit)、回滾(rollback)和崩潰修復(fù)能力的事務(wù)安全(ACID)，對于大多數(shù)數(shù)據(jù)庫表而言，InnoDB存儲引擎已經(jīng)夠用了，MySQL服務(wù)實(shí)例默認(rèn)的存儲引擎就是InnoDB。

現(xiàn)在來看MySQL5.7是最新版，主要有以下幾個特性提升：

1)安全性：如從MySQL5.7開始，root用戶的密碼不再是空，而是隨機(jī)產(chǎn)生一個密碼，默認(rèn)安裝完后是沒有test數(shù)據(jù)庫的，默認(rèn)連接就采用SSL的加密方式，可以為用戶設(shè)置密碼過期策略，一定時間后，強(qiáng)制用戶修改密碼;

2)靈活性：提供對JSON的支持，以應(yīng)對非結(jié)構(gòu)化數(shù)據(jù)庫的挑戰(zhàn)，generated column(被生成列)數(shù)據(jù)庫中這一列由其他列計(jì)算而得;

3)易用性：小到一個客戶端快捷鍵ctrl+c的使用，大到專門提供一個系統(tǒng)庫(sys)來幫助DBA和開發(fā)人員使用數(shù)據(jù)庫，以前需要借助外部工具才知道的，現(xiàn)在直接查詢sys庫下相應(yīng)的表就能得到答案：查看數(shù)據(jù)庫中的冗余索引、獲取未使用的索引、查看使用全表掃描的SQL語句;

4)可用性：在線設(shè)置復(fù)制的過濾規(guī)則不再需要重啟MySQL，只需要停止SQL thread，修改完成以后，啟動SQL thread，在線修改buffer pool的大小，支持重命名索引和修改varchar的大小等;

5)性能：包括臨時表相關(guān)的性能改進(jìn)、只讀事務(wù)的性能優(yōu)化、連接建立速度的優(yōu)化和復(fù)制性能的改進(jìn)。

4數(shù)據(jù)庫漏洞掃描對MySQL5.7的支持

安全測評機(jī)構(gòu)、安服團(tuán)隊(duì)、集團(tuán)安全部門在信息安全等級保護(hù)的指導(dǎo)下，對重要的業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行等保安全測評，數(shù)據(jù)庫的安全檢查是等保的重點(diǎn)要求。單純靠人工很難在短時間內(nèi)全面、有效、準(zhǔn)確的發(fā)現(xiàn)數(shù)據(jù)庫的安全問題，借助數(shù)據(jù)庫漏掃工具可以提高安全檢查效率。

安華金和作為專注與數(shù)據(jù)安全的產(chǎn)品和服務(wù)提供商，是中國當(dāng)前唯一提供數(shù)據(jù)庫安全全線產(chǎn)品的公司，形成了一條完整的數(shù)據(jù)庫安全產(chǎn)品線：數(shù)據(jù)庫漏洞掃描(簡稱DBScan)、數(shù)據(jù)防火墻、數(shù)據(jù)庫加密、數(shù)據(jù)庫脫敏、數(shù)據(jù)庫監(jiān)控與審計(jì)、數(shù)據(jù)庫運(yùn)維管控等產(chǎn)品。使用DBScan與人工檢測相結(jié)合的方式，檢測數(shù)據(jù)庫的安全問題，并提出有針對性的整改措施，用來扭轉(zhuǎn)數(shù)據(jù)庫安全問題頻發(fā)的嚴(yán)峻局面，保護(hù)和促進(jìn)信息化的健康發(fā)展。

在實(shí)際測評工作中測評人員面臨的問題是數(shù)據(jù)庫類型多，每個類型數(shù)據(jù)庫還可能由于版本不同，數(shù)據(jù)庫缺省賬戶、安全配置參數(shù)等也不同。Oracle各版本的缺省賬戶有700多個，達(dá)夢6和7從連接的端口號到安全配置項(xiàng)都有不同，互聯(lián)網(wǎng)企業(yè)已廣泛使用的MySQL5.7，內(nèi)部系統(tǒng)表的結(jié)構(gòu)與之前的版本不同。DBScan也與時俱進(jìn)升級支持，滿足新版本的弱口令和數(shù)據(jù)庫漏洞掃描，安華金和歡迎廣大互聯(lián)網(wǎng)企業(yè)試用。