Risk Based Security 2020年第三季度報(bào)告顯示，2020年1月到9月間約有360億數(shù)據(jù)記錄被盜。這一結(jié)果雖然令人吃驚，但也發(fā)出了需要切實(shí)加強(qiáng)數(shù)據(jù)庫(kù)安全措施的明確信息。

[[392453]]

數(shù)據(jù)庫(kù)安全措施與網(wǎng)站安全實(shí)踐略有不同。前者涉及物理措施、軟件解決方案，乃至員工安全教育。不過(guò)，保護(hù)站點(diǎn)免遭網(wǎng)絡(luò)罪犯利用潛在攻擊途徑入侵也同樣重要。

本文謹(jǐn)列出10個(gè)數(shù)據(jù)庫(kù)安全優(yōu)秀實(shí)踐，幫助讀者加強(qiáng)敏感數(shù)據(jù)安全。

1. 部署物理數(shù)據(jù)庫(kù)安全措施

數(shù)據(jù)中心或自有服務(wù)器容易遭遇外部人甚或惡意內(nèi)部人的物理攻擊。只要能夠接觸實(shí)體數(shù)據(jù)庫(kù)服務(wù)器，網(wǎng)絡(luò)罪犯就能盜取數(shù)據(jù)、損壞數(shù)據(jù)，甚至植入惡意軟件獲取遠(yuǎn)程訪問(wèn)權(quán)。如果缺乏額外的安全措施，我們就難以檢測(cè)此類攻擊，因?yàn)樗鼈兡軌蚶@過(guò)數(shù)字安全規(guī)程。

在選擇Web托管服務(wù)時(shí)，一定要確保服務(wù)提供商一貫重視安全，過(guò)往安全記錄良好。同時(shí)，最好避免選擇免費(fèi)的托管服務(wù)，因?yàn)榭赡懿话踩?/p>

如果自行保管服務(wù)器，強(qiáng)烈建議增配攝像頭、鎖具等物理安全措施，并配備安保人員。此外，還應(yīng)保留全部物理服務(wù)器訪問(wèn)記錄，并只允許特定人員接觸物理服務(wù)器，從而緩解惡意行為風(fēng)險(xiǎn)。

2. 隔離數(shù)據(jù)庫(kù)服務(wù)器

需要采用專門的安全措施來(lái)保護(hù)數(shù)據(jù)庫(kù)免遭網(wǎng)絡(luò)攻擊。而將數(shù)據(jù)與網(wǎng)站放到同一臺(tái)服務(wù)器上，則是將數(shù)據(jù)暴露給了針對(duì)網(wǎng)站的各種攻擊方法。

假設(shè)你運(yùn)營(yíng)著一家在線商店，并且把你的網(wǎng)站、非敏感數(shù)據(jù)和敏感數(shù)據(jù)都放在同一臺(tái)服務(wù)器上。沒(méi)錯(cuò)，你確實(shí)可以利用托管服務(wù)供應(yīng)商提供的安全措施，以及電子商務(wù)平臺(tái)的安全功能來(lái)防止網(wǎng)絡(luò)攻擊和欺詐。但是，你的敏感數(shù)據(jù)就難以抵御通過(guò)網(wǎng)站和在線商店平臺(tái)實(shí)施的攻擊了。無(wú)論是網(wǎng)站還是在線商店平臺(tái)，網(wǎng)絡(luò)罪犯但凡能攻破其中一個(gè)，就可以訪問(wèn)你的數(shù)據(jù)庫(kù)。

想要緩解這些安全風(fēng)險(xiǎn)，那就將你的數(shù)據(jù)庫(kù)服務(wù)器與其他一切隔離開(kāi)來(lái)。此外，采用實(shí)時(shí)安全信息與事件管理(SIEM)，這是專門用于數(shù)據(jù)庫(kù)安全的，可供企業(yè)在遭遇入侵時(shí)立即采取行動(dòng)。

3. 設(shè)置HTTPS代理服務(wù)器

從工作站發(fā)出的請(qǐng)求在訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器之前會(huì)經(jīng)過(guò)代理服務(wù)器的評(píng)估。這樣一來(lái)，代理服務(wù)器就像守門員一樣攔住非授權(quán)請(qǐng)求。

最常見(jiàn)的代理服務(wù)器基于HTTP。然而，如果你要處理敏感信息，例如密碼、支付信息或個(gè)人信息，那就設(shè)置HTTPS服務(wù)器。這樣穿過(guò)代理服務(wù)器的數(shù)據(jù)就也是加密的，能夠多一層安全。

4. 避免使用默認(rèn)網(wǎng)絡(luò)端口

TCP和UDP協(xié)議用在服務(wù)器間傳輸數(shù)據(jù)的時(shí)候。設(shè)置這些協(xié)議時(shí)往往會(huì)自動(dòng)使用默認(rèn)網(wǎng)絡(luò)端口。由于太常見(jiàn)了，暴力破解攻擊就經(jīng)常使用默認(rèn)端口。

如果你不使用默認(rèn)端口，盯上你服務(wù)器的網(wǎng)絡(luò)攻擊者就必須嘗試不同端口號(hào)，不斷試錯(cuò)。這額外的工作量很是勸退，攻擊者不會(huì)再在你身上耗時(shí)間。

不過(guò)，分配新端口的時(shí)候，記得查一下互聯(lián)網(wǎng)號(hào)碼分配機(jī)構(gòu)(IANA)的端口注冊(cè)表，確保新端口沒(méi)被其他服務(wù)占用。

5. 使用實(shí)時(shí)數(shù)據(jù)庫(kù)監(jiān)測(cè)

主動(dòng)掃描數(shù)據(jù)庫(kù)檢查入侵嘗試可以強(qiáng)化安全，也有助于應(yīng)對(duì)潛在攻擊。

可以使用Tripwire的實(shí)時(shí)文件完整性監(jiān)測(cè)(FIM)記錄數(shù)據(jù)庫(kù)服務(wù)器上所有行為，發(fā)現(xiàn)異常及時(shí)報(bào)警。此外，還可以設(shè)置升級(jí)規(guī)程應(yīng)對(duì)潛在攻擊，讓敏感數(shù)據(jù)更加安全。

另一個(gè)值得考慮的方面是定期審計(jì)數(shù)據(jù)庫(kù)安全并組織網(wǎng)絡(luò)安全滲透測(cè)試。這些措施有助于發(fā)現(xiàn)潛在安全漏洞，在數(shù)據(jù)泄露發(fā)生之前打上補(bǔ)丁。

6. 采用數(shù)據(jù)庫(kù)防火墻和Web應(yīng)用防火墻

防火墻是攔住惡意訪問(wèn)的第一道防線。除網(wǎng)站防護(hù)措施之外，還應(yīng)安裝防火墻來(lái)保護(hù)數(shù)據(jù)庫(kù)免遭不同攻擊方式侵害。

有三種類型的防火墻常用于保護(hù)網(wǎng)絡(luò)安全：

• 包過(guò)濾防火墻
• 有狀態(tài)包檢測(cè)(SPI)
• 代理服務(wù)器防火墻

防火墻的配置要確保正確覆蓋每個(gè)安全漏洞。另外，保持更新防火墻也是必需的，因?yàn)檫@樣才能保護(hù)站點(diǎn)和數(shù)據(jù)庫(kù)能抵御新型網(wǎng)絡(luò)攻擊方法。

7. 部署數(shù)據(jù)加密協(xié)議

數(shù)據(jù)加密不僅能保護(hù)你的商業(yè)秘密，也是傳輸和存儲(chǔ)敏感用戶信息的重要防護(hù)措施。

設(shè)置數(shù)據(jù)加密協(xié)議可以降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。換句話說(shuō)，即使網(wǎng)絡(luò)罪犯拿到了你的數(shù)據(jù)，這些信息也是安全的。

8. 創(chuàng)建定期數(shù)據(jù)庫(kù)備份

創(chuàng)建網(wǎng)站備份算是常見(jiàn)操作了，但定期創(chuàng)建數(shù)據(jù)庫(kù)備份也很重要。這么做可以緩解因惡意攻擊或數(shù)據(jù)損壞而造成的敏感信息丟失風(fēng)險(xiǎn)。

在Windows和Linux等常見(jiàn)服務(wù)器上創(chuàng)建數(shù)據(jù)庫(kù)備份的方法可在官網(wǎng)上找到。此外，要想進(jìn)一步強(qiáng)化安全，最好在單獨(dú)的服務(wù)器上加密并存儲(chǔ)備份。這樣，即使主數(shù)據(jù)庫(kù)服務(wù)器被黑或無(wú)法訪問(wèn)，你的數(shù)據(jù)也可以恢復(fù)。

9. 保持應(yīng)用更新

研究顯示，90%的應(yīng)用都包含過(guò)時(shí)軟件組件。而且，對(duì)WordPress插件的分析揭示，17,383個(gè)插件兩年來(lái)都沒(méi)更新過(guò)，13,655個(gè)插件三年沒(méi)更新過(guò)，3,990個(gè)插件甚至長(zhǎng)達(dá)七年未更新。你用來(lái)管理數(shù)據(jù)庫(kù)甚至運(yùn)營(yíng)網(wǎng)站的軟件就是這些過(guò)時(shí)組件的集合，其間蘊(yùn)含的巨大安全風(fēng)險(xiǎn)可想而知。

雖然你應(yīng)該只用經(jīng)驗(yàn)證的可信數(shù)據(jù)庫(kù)管理軟件，但也應(yīng)該保持更新，在有可用補(bǔ)丁時(shí)及時(shí)安裝。同樣的更新原則也適用于小部件、插件和第三方應(yīng)用，并且要加上一條建議：不要使用那些沒(méi)接收定期更新的。完全離它們遠(yuǎn)遠(yuǎn)的。

10. 采用強(qiáng)用戶身份驗(yàn)證

Verizon最新的研究揭示，80%的數(shù)據(jù)泄露事件由被盜密碼導(dǎo)致。這表明單靠密碼可不是什么良好的安全措施，因?yàn)椴粫?huì)設(shè)置強(qiáng)密碼的人太多了。

想要對(duì)抗密碼設(shè)置中的人為失誤問(wèn)題，以及給你的數(shù)據(jù)庫(kù)安全增添另一層防護(hù)，不妨設(shè)立多因子身份驗(yàn)證過(guò)程。(該方法并不完美。)這樣即使登錄憑證被盜，網(wǎng)絡(luò)罪犯也很難繞過(guò)這一安全規(guī)程。

此外，僅允許經(jīng)驗(yàn)證的IP地址訪問(wèn)數(shù)據(jù)庫(kù)也可以進(jìn)一步緩解潛在數(shù)據(jù)泄露風(fēng)險(xiǎn)。盡管IP地址可被復(fù)制或屏蔽，但這好歹也要求攻擊者的技術(shù)水平要達(dá)到一定門檻，而且也更費(fèi)事了不是?

強(qiáng)化數(shù)據(jù)庫(kù)安全，緩解數(shù)據(jù)泄露風(fēng)險(xiǎn)

保護(hù)數(shù)據(jù)庫(kù)免受惡意攻擊侵害是一項(xiàng)系統(tǒng)性工作，囊括從服務(wù)器物理位置到人為失誤風(fēng)險(xiǎn)緩解等諸多方面。

即使數(shù)據(jù)泄露越來(lái)越頻繁，維護(hù)健康的安全規(guī)程也能降低遭攻擊的風(fēng)險(xiǎn)，幫助避免真被攻擊者盜得數(shù)據(jù)。