《企業(yè)網(wǎng)D1Net》4月3日訊

提起數(shù)據(jù)庫，相信很多人都不陌生，而對(duì)企業(yè)而言，企業(yè)數(shù)據(jù)庫是企業(yè)發(fā)展必不可少的一部分，企業(yè)數(shù)據(jù)庫是承載企業(yè)信息資產(chǎn)安全的重要介質(zhì)和平臺(tái)，即使在云和大數(shù)據(jù)時(shí)代，其仍然是信息安全工作者不可忽略的危險(xiǎn)地帶。

由于關(guān)系數(shù)據(jù)庫可以支持范圍廣泛的不同類型的 應(yīng)用程序和專利使用，他們通常在多個(gè)層次應(yīng)用安全。安全的每一層被設(shè)計(jì)用于特定目的，并且可以用于提供授權(quán)規(guī)則。為了獲得訪問你最值得信賴的信息，用戶必 須在其中的一個(gè)或多個(gè)層次具有相應(yīng)的權(quán)限。作為一名數(shù)據(jù)庫或系統(tǒng)管理員，你的工作是要確保障礙是適當(dāng)?shù)母叨?mdash;—也就是說，你的安全模型同時(shí)考慮到了安全性 和可用性。本文將介紹如何從服務(wù)器、網(wǎng)絡(luò)、操作系統(tǒng)三個(gè)緯度考慮保障企業(yè)數(shù)據(jù)庫安全。

第一層：服務(wù)器級(jí)安全

數(shù)據(jù)庫應(yīng)用程序是否安全，依賴于它所運(yùn)行的服務(wù)器是否安全。因此，首先考慮數(shù)據(jù)庫被托管的物理服務(wù)器上的安全設(shè)置是非常重要的。在規(guī)模較小，配置簡單的組 織，你可能只有一臺(tái)機(jī)器需要確保安全。大型組織可能要安置多臺(tái)服務(wù)器。這些服務(wù)器可能地理上是分布的，甚至是復(fù)雜的集群配置。

你應(yīng)該采取保護(hù)服務(wù)器的第一步是確定哪些用戶和應(yīng)用程序應(yīng)該能夠訪問它。現(xiàn)代數(shù)據(jù)庫平臺(tái)一般都是通過網(wǎng)絡(luò)進(jìn)行訪問，并且大多數(shù)數(shù)據(jù)庫管理任務(wù)可以遠(yuǎn)程執(zhí) 行。因此，除了物理維護(hù)數(shù)據(jù)庫的硬件，沒有必要有人能夠直接物理訪問一個(gè)數(shù)據(jù)庫。這也是非常重要的物理保護(hù)數(shù)據(jù)庫以防止非授權(quán)用戶訪問數(shù)據(jù)庫文件和數(shù)據(jù)備 份。如果非授權(quán)用戶可以獲得你服務(wù)器的物理訪問，就更難以防止進(jìn)一步的破壞。

第二層：網(wǎng)絡(luò)級(jí)安全

如前所述，數(shù)據(jù)庫在各自的操作系統(tǒng)平臺(tái)上工作，為用戶提供他們所需要的數(shù)據(jù)。因此，一般的操作系統(tǒng)和網(wǎng)絡(luò)級(jí)的安全也適用于數(shù)據(jù)庫。如果基礎(chǔ)平臺(tái)是不安全 的，這對(duì)于數(shù)據(jù)庫是顯著的漏洞。因?yàn)樗鼈儽辉O(shè)計(jì)為網(wǎng)絡(luò)應(yīng)用程序，你必須采取合理步驟，以確保只有特定的客戶端可以訪問這些機(jī)器。

為保護(hù)數(shù)據(jù)庫的一些標(biāo)準(zhǔn)“最佳實(shí)踐”包括限制網(wǎng)絡(luò)和網(wǎng)絡(luò)地址直接訪問計(jì)算機(jī)。例如，你可能會(huì)實(shí)施路由規(guī)則和包過濾，以確保你的內(nèi)部網(wǎng)絡(luò)上只有特定用戶才可以與服務(wù)器進(jìn)行通信。

舉個(gè)例子，微軟的SQL Server數(shù)據(jù)庫平臺(tái)使用默認(rèn)的1433 TCP端口為客戶端與數(shù)據(jù)庫之間進(jìn)行通信。如果你明確知道有沒有必要讓你網(wǎng)絡(luò)的特定子網(wǎng)用戶能夠直接訪問該服務(wù)器，那么阻止網(wǎng)絡(luò)訪問此TCP端口是明智 的。這樣做還可以防止惡意用戶和代碼（如病毒）從網(wǎng)絡(luò)上攻擊本機(jī)。另一個(gè)安全的做法是，改變服務(wù)器監(jiān)聽的默認(rèn)端口。

當(dāng)然，現(xiàn)實(shí)中很少數(shù)據(jù)庫是單獨(dú)工作的。一般情況下，這些系統(tǒng)常常由用戶通過任務(wù)關(guān)鍵型應(yīng)用程序直接訪問。

保障數(shù)據(jù)庫中信息安全的另一種方法是使用加密。大多數(shù)現(xiàn)代數(shù)據(jù)庫支持客戶端和服務(wù)器之間的加密連接。雖然這些協(xié)議有時(shí)會(huì)顯著地增加處理和數(shù)據(jù)傳輸開銷（特 別是對(duì)于大量結(jié)果集或非常繁忙的服務(wù)器），但在某些情況下可能需要提高安全性。此外，通過使用虛擬專用網(wǎng)絡(luò)（VPN），系統(tǒng)管理員可以確保敏感數(shù)據(jù)在傳輸 過程中仍然受到保護(hù)。

根據(jù)實(shí)施，VPN解決方案可以提供的額外好處是使網(wǎng)絡(luò)管理員能夠無需客戶端或服務(wù)器重新配置而實(shí)現(xiàn)安全。數(shù)據(jù)加密也是網(wǎng)絡(luò)層以外領(lǐng)域的一個(gè)重要安全功能。通常情況 下，數(shù)據(jù)庫管理員將他們的數(shù)據(jù)備份，并將存儲(chǔ)在文件服務(wù)器上。這些文件服務(wù)器可能不如作為承載數(shù)據(jù)“實(shí)時(shí)”副本的敏感數(shù)據(jù)庫安全。要記住這是非常重要的， 默認(rèn)情況下，大多數(shù)關(guān)系數(shù)據(jù)庫系統(tǒng)沒有為備份提供非常強(qiáng)大的安全功能。在大多數(shù)情況下，數(shù)據(jù)庫備份如實(shí)時(shí)數(shù)據(jù)庫本身具有同等價(jià)值，因此加密，妥善的管理文 件系統(tǒng)權(quán)限，以及相關(guān)的最佳實(shí)踐應(yīng)被遵循。最后，數(shù)據(jù)加密也能有效地在數(shù)據(jù)庫中使用。許多類型的系統(tǒng)存儲(chǔ)敏感數(shù)據(jù)，如信用卡號(hào)碼和密碼（用戶可能使用幾個(gè) 不同的應(yīng)用程序）。一個(gè)潛在的問題就在于這樣一個(gè)事實(shí)：數(shù)據(jù)庫開發(fā)人員和管理員常常需要為了做好自己的工作而擁有對(duì)這些數(shù)據(jù)庫表單的全部訪問權(quán)限。模糊數(shù) 據(jù)的一種方法是加密儲(chǔ)存在數(shù)據(jù)庫表中的值。在這種方式中，授權(quán)用戶將能夠在需要時(shí)訪問和修改數(shù)據(jù)，但只限于調(diào)用應(yīng)用程序能夠破譯并使它可用的數(shù)據(jù)。對(duì)于某 些數(shù)據(jù)庫廠商，如Oracle，加密存儲(chǔ)在數(shù)據(jù)庫之外，若發(fā)生密鑰丟失，表列中的數(shù)據(jù)也將丟失。

D1Net評(píng)論：

企業(yè)數(shù)據(jù)庫會(huì)面臨很多安全威脅，而多一層防護(hù)，會(huì)更安全，無論是服務(wù)器級(jí)安全還是網(wǎng)絡(luò)級(jí)安全，都是必不可少的一部分，從這個(gè)兩個(gè)層面進(jìn)行安全保護(hù)，可以使企業(yè)數(shù)據(jù)庫更安全。