數(shù)據(jù)庫對于應(yīng)用系統(tǒng)的運行至關(guān)重要，但是由于未進行加密，也沒有防火墻的保護，使得未加密信息被泄露到網(wǎng)絡(luò)上，數(shù)據(jù)庫被攻擊而造成數(shù)據(jù)丟失、系統(tǒng)癱瘓的事情時有發(fā)生，只有解決了這兩個問題，才能夠保護數(shù)據(jù)庫的安全。

　　數(shù)據(jù)庫“裸奔” 安全事件頻出

　　數(shù)據(jù)庫作為結(jié)構(gòu)化數(shù)據(jù)保存的主要載體，其中的數(shù)據(jù)非常重要。但是好多的數(shù)據(jù)庫沒有進行加密，使得數(shù)據(jù)在互聯(lián)網(wǎng)上“裸奔”，造成了眾多的安全事件。

　　2020年1月，安全研究員Jeremiah Fowler在網(wǎng)上發(fā)現(xiàn)了一個數(shù)據(jù)庫，其中包含“大量記錄”。這個在網(wǎng)上公開的數(shù)據(jù)庫沒有密碼保護，總共包含440,336,852條記錄，連接到總部位于紐約的化妝品巨頭雅詩蘭黛。公開的數(shù)據(jù)庫記錄不包含付款數(shù)據(jù)或敏感的員工信息，數(shù)據(jù)庫泄露的其他數(shù)據(jù)則包括：以純文本格式存儲的用戶電子郵件，包括來自@ estee.com域的內(nèi)部電子郵件地址;內(nèi)部大量IT日志，包括生產(chǎn)、審核、錯誤、內(nèi)容管理系統(tǒng)和中間件報告;參考報告和其他內(nèi)部文件;對公司內(nèi)部使用的IP地址，端口、路徑和存儲的引用等。之后該公司稱這個系統(tǒng)不是面向客戶的，也不包含客戶數(shù)據(jù)，并立即關(guān)閉了對該數(shù)據(jù)庫的訪問通道，對數(shù)據(jù)進行保護。

　　2002年5月，江蘇省南通市公安局公布，經(jīng)過4個多月的縝密偵查，江蘇南通、如東兩級公安機關(guān)破獲了一起特大“暗網(wǎng)”侵犯公民個人信息案，抓獲犯罪嫌疑人27名，查獲被售賣的公民個人信息數(shù)據(jù)5000多萬條。這起案件也被公安部列為2019年以來全國公安機關(guān)偵破的10起侵犯公民個人信息違法犯罪典型案件之一。

　　2020年3月，有用戶發(fā)現(xiàn)5.38億條微博用戶信息在暗網(wǎng)出售，其中1.72億條有賬戶基本信息，售價0.177比特幣。涉及到的賬號信息包括用戶ID、賬號發(fā)布的微博數(shù)、粉絲數(shù)、關(guān)注數(shù)、性別、地理位置等。對此，微博安全總監(jiān)羅詩堯回應(yīng)表示：“泄漏的手機號是19年通過通訊錄上傳接口被暴力匹配的，其余公開信息都是網(wǎng)上抓來的。”

　　2021年1月29日，銀保監(jiān)會開出2021年第一張罰單，中國農(nóng)業(yè)銀行因涉及發(fā)生重要信息系統(tǒng)突發(fā)事件未報告、數(shù)據(jù)安全管理粗放存在數(shù)據(jù)泄露風(fēng)險、互聯(lián)網(wǎng)門戶網(wǎng)站泄露敏感信息等六項問題，被罰420萬人民幣。

　　數(shù)據(jù)庫受攻擊 系統(tǒng)宕機損失嚴重

　　2020年剛開始，蘋果CMS被爆出數(shù)據(jù)庫代碼執(zhí)行漏洞，大量的電影網(wǎng)站被掛馬，尤其電影的頁面被篡改植入了惡意代碼，數(shù)據(jù)庫中的VOD表里的d_name被全部修改，導(dǎo)致網(wǎng)站打開后直接跳轉(zhuǎn)到S站或者彈窗廣告。

[[382212]]

　　同時，使用數(shù)據(jù)庫開發(fā)的應(yīng)用系統(tǒng)，就可能存在SQL注入攻擊的可能。自1999年起，SQL注入漏洞就成了常見安全漏洞之一。至今SQL注入漏洞仍然在CVE列表中排前10。2008年見證了由于SQL注入引起的經(jīng)濟失調(diào);在2010年秋季，聯(lián)合國官方網(wǎng)站也遭受SQL注入攻擊;2011年美國國土安全局，Mitre和SANA研究所將SQL注入作為第一危險的安全漏洞;至今，SQL注入仍然是首要的難以修復(fù)的安全威脅漏洞(數(shù)據(jù)庫生產(chǎn)廠商難以通過維護數(shù)據(jù)庫自身功能或提高數(shù)據(jù)庫安全策略來防范SQL注入)。

　　類似事件眾多，不勝枚舉。

　　潮數(shù)數(shù)據(jù)庫加密系統(tǒng) 解決數(shù)據(jù)安全問題

　　潮數(shù)數(shù)據(jù)庫加密系統(tǒng)，基于加密算法和合理的密鑰管理，有選擇性地加密敏感字段內(nèi)容，保護數(shù)據(jù)庫內(nèi)部敏感數(shù)據(jù)的安全。敏感數(shù)據(jù)以密文的形式存儲，這樣能保證即使在存儲介質(zhì)被竊取，或數(shù)據(jù)文件被非法復(fù)制的情況下，敏感數(shù)據(jù)仍是安全的。并通過密碼技術(shù)實現(xiàn)“三權(quán)分離”，避免DBA密碼泄漏帶來的批量數(shù)據(jù)泄漏風(fēng)險。

　　潮數(shù)加密根據(jù)業(yè)務(wù)需求支持數(shù)據(jù)庫透明加密分級;一級透明加密了潮數(shù) Self TDE支持成熟TDE架構(gòu)，對數(shù)據(jù)庫管理及應(yīng)用完全透明;雙層密鑰機制，每個表或者數(shù)據(jù)庫對應(yīng)不同密鑰，密鑰使用主密鑰進行緊密保護，主密鑰存儲與密碼模塊保證密鑰安全性。二級透明加密了潮數(shù) Struct TDE采用自研加密技術(shù)，實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)加密或明文完整性密碼運算，支持國密算法及標準國際算法，提供增強的權(quán)限控制，必須同時具有DBA和DSA的授權(quán)才能進行訪問。同時可附加選擇符合國密密碼模塊二級標準的功能，數(shù)據(jù)庫數(shù)據(jù)可數(shù)據(jù)透明加密加鹽，相同數(shù)據(jù)密文不同，支持數(shù)據(jù)庫明文或密文完整性校驗，支持對透明加密數(shù)據(jù)進行審計。

　　潮數(shù)數(shù)據(jù)庫防火墻系統(tǒng) 防范數(shù)據(jù)庫被攻擊和宕機危險

　　潮數(shù)數(shù)據(jù)庫防火墻通過實時分析網(wǎng)絡(luò)中的數(shù)據(jù)庫訪問活動，對訪問數(shù)據(jù)庫操作進行細粒度的規(guī)則匹配，對數(shù)據(jù)庫遭受到的風(fēng)險行為進行訪問控制，特別對SQL攻擊和違反企業(yè)規(guī)范的數(shù)據(jù)庫訪問行為進行及時阻斷。

　　主要功能包括：

　　攻擊檢測和保護：實時檢測用戶對數(shù)據(jù)庫進行SQL注入和緩沖區(qū)溢出的攻擊，并報警或者阻止攻擊行為，同時詳細記錄攻擊操作發(fā)生的時間、來源IP、用戶名、攻擊代碼等信息。

　　虛擬補?。和ㄟ^內(nèi)置的多種漏洞特征庫防止已知漏洞被利用，并有效降低數(shù)據(jù)庫被0day(還沒有補丁的漏洞)攻擊的風(fēng)險。

　　屏蔽直接訪問數(shù)據(jù)庫的通道：數(shù)據(jù)庫防火墻部署于數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器之間，屏蔽直接訪問數(shù)據(jù)庫的通道，防止數(shù)據(jù)庫隱通道對數(shù)據(jù)庫的攻擊。

　　連接監(jiān)控：實時監(jiān)控數(shù)據(jù)庫的連接信息、風(fēng)險狀態(tài)等。

　　多因子認證：基于IP地址、MAC地址、用戶、應(yīng)用程序、時間等因子對訪問者進行身份認證，彌補單一口令認證方式安全性的不足。應(yīng)用程序?qū)?shù)據(jù)庫的訪問，必須經(jīng)過數(shù)據(jù)庫防火墻和數(shù)據(jù)庫兩層身份認證。

　　行為基線：系統(tǒng)將自動學(xué)習(xí)每一個應(yīng)用的訪問語句，進行模式提取和分類，自動生成行為特征模型。系統(tǒng)通過檢查訪問行為與基線的偏差來識別風(fēng)險。

　　安全審計：系統(tǒng)能夠記錄對數(shù)據(jù)庫服務(wù)器的訪問情況，包括用戶名、程序名、IP地址、請求的數(shù)據(jù)庫、連接/斷開的時間、風(fēng)險等信息，并提供靈活的查詢分析功能。

　　有了防火墻的保護，數(shù)據(jù)庫因為上述問題而引起的被攻擊的問題將會得到很好的解決，數(shù)據(jù)庫也不會因為這些問題而宕機，從而造成業(yè)務(wù)中斷。