文/李驥奮 王效轍

保障高校數(shù)據(jù)庫(kù)安全需定時(shí)巡檢

文/李驥奮 王效轍

百密或有一疏，再可謂道高一尺，魔高一丈，沒(méi)有絕對(duì)的安全，因此做好數(shù)據(jù)災(zāi)備是必須的。

數(shù)據(jù)庫(kù)系統(tǒng)安全是一項(xiàng)綜合性的系統(tǒng)工作，貫穿數(shù)據(jù)庫(kù)系統(tǒng)環(huán)境構(gòu)建初始到數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)用的整個(gè)過(guò)程。大連海事大學(xué)經(jīng)過(guò)多年的實(shí)踐與摸索，逐步建成了適合學(xué)校實(shí)際應(yīng)用的數(shù)據(jù)庫(kù)系統(tǒng)安全體系。

數(shù)據(jù)庫(kù)系統(tǒng)安全環(huán)境構(gòu)建

安全環(huán)境構(gòu)建主要有硬件環(huán)境、軟環(huán)境和網(wǎng)絡(luò)環(huán)境三個(gè)方面。

1.硬件冗余是數(shù)據(jù)庫(kù)安全的硬件基礎(chǔ)，可避免因硬件的單點(diǎn)故障帶來(lái)的數(shù)據(jù)庫(kù)系統(tǒng)安全問(wèn)題。

2.搭建軟環(huán)境的數(shù)據(jù)庫(kù)集群，可確保數(shù)據(jù)庫(kù)服務(wù)的負(fù)載均衡和失效轉(zhuǎn)移，避免因軟環(huán)境的單點(diǎn)故障帶來(lái)的服務(wù)安全問(wèn)題。采用集群架構(gòu)，配置多個(gè)服務(wù)器節(jié)點(diǎn)，節(jié)點(diǎn)之間通過(guò)私有網(wǎng)絡(luò)進(jìn)行通信，互相監(jiān)控節(jié)點(diǎn)的運(yùn)行狀態(tài)，所有集群節(jié)點(diǎn)可以共享讀寫(xiě)共享存儲(chǔ)。

3.通過(guò)在核心交換機(jī)劃分VLAN，將數(shù)據(jù)庫(kù)服務(wù)器的網(wǎng)絡(luò)網(wǎng)段設(shè)定為內(nèi)部私網(wǎng)地址，并配置VLAN間訪問(wèn)控制，實(shí)現(xiàn)前端服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間分離，可在一定程度上保障數(shù)據(jù)庫(kù)系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)安全。

數(shù)據(jù)庫(kù)參數(shù)和性能調(diào)優(yōu)

1.調(diào)整內(nèi)存參數(shù)

調(diào)整內(nèi)存參數(shù)是較常用的優(yōu)化方法。根據(jù)數(shù)據(jù)庫(kù)實(shí)際運(yùn)行的工作負(fù)荷、統(tǒng)計(jì)情況，調(diào)整相應(yīng)參數(shù)值，以確保數(shù)據(jù)庫(kù)系統(tǒng)自身運(yùn)維環(huán)境的可靠性。

2.開(kāi)啟數(shù)據(jù)庫(kù)歸檔模式

當(dāng)出現(xiàn)介質(zhì)損壞、誤操作時(shí)，數(shù)據(jù)庫(kù)管理員可以憑借歸檔日志文件來(lái)防止丟失數(shù)據(jù)，從而當(dāng)數(shù)據(jù)庫(kù)出現(xiàn)意外故障時(shí)，最大限度地保護(hù)數(shù)據(jù)的安全性。

3.在線重做日志緩沖區(qū)調(diào)整

設(shè)置合適的重做日志緩沖區(qū)值，可以避免重做日志緩沖區(qū)寫(xiě)入失敗，提高進(jìn)程的寫(xiě)入效率，從而提高數(shù)據(jù)庫(kù)性能。

4.限制最大連接數(shù)

根據(jù)數(shù)據(jù)庫(kù)軟硬件平臺(tái)的實(shí)際性能，設(shè)置數(shù)據(jù)庫(kù)的最大連接數(shù)參數(shù)，保障業(yè)務(wù)穩(wěn)定性。

數(shù)據(jù)庫(kù)系統(tǒng)管理安全性策略

1.數(shù)據(jù)庫(kù)系統(tǒng)管理員

保護(hù)管理者與數(shù)據(jù)庫(kù)的連接，只有數(shù)據(jù)庫(kù)管理者能用管理權(quán)限連入數(shù)據(jù)庫(kù)。修改數(shù)據(jù)庫(kù)默認(rèn)賬號(hào)密碼，加強(qiáng)靜態(tài)口令認(rèn)證的密碼復(fù)雜度控制。

2.用戶安全管理

按照用戶或應(yīng)用分配數(shù)據(jù)庫(kù)賬號(hào)，避免共享賬號(hào)，刪除或鎖定與數(shù)據(jù)庫(kù)運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)；將用戶權(quán)限最小化，對(duì)賬號(hào)的屬性進(jìn)行控制，包括密碼策略、資源限制等。

3.權(quán)限管理

只有給用戶授予了特定權(quán)限或角色之后，該用戶才能連接到數(shù)據(jù)庫(kù)，進(jìn)而執(zhí)行相應(yīng)的SQL語(yǔ)句或進(jìn)行對(duì)象訪問(wèn)操作。同時(shí)可以通過(guò)回收權(quán)限的命令對(duì)所授予的權(quán)限進(jìn)行回收。

4.數(shù)據(jù)庫(kù)漏洞

數(shù)據(jù)庫(kù)版本升級(jí)與打補(bǔ)丁，盡可能地堵住潛在的各種漏洞，防止非法用戶利用它們侵入數(shù)據(jù)庫(kù)系統(tǒng)。數(shù)據(jù)庫(kù)軟件版本盡量保持穩(wěn)定，尤其是要及時(shí)為數(shù)據(jù)庫(kù)安裝各種安全補(bǔ)丁。

數(shù)據(jù)庫(kù)審計(jì)

部署獨(dú)立的數(shù)據(jù)庫(kù)安全審計(jì)設(shè)備，采用外掛旁路的方式，通過(guò)網(wǎng)絡(luò)端口的數(shù)據(jù)映射，將數(shù)據(jù)庫(kù)系統(tǒng)訪問(wèn)的數(shù)據(jù)流量映射給第三方數(shù)據(jù)庫(kù)安全審計(jì)設(shè)備，從而既能達(dá)到數(shù)據(jù)庫(kù)審計(jì)目的，又不會(huì)給數(shù)據(jù)庫(kù)系統(tǒng)帶來(lái)額外的系統(tǒng)負(fù)載和開(kāi)銷。審計(jì)工具用于記錄關(guān)于數(shù)據(jù)庫(kù)操作的信息，如操作是何時(shí)發(fā)生的，是哪個(gè)用戶在執(zhí)行；可進(jìn)行SQL語(yǔ)句審計(jì)、權(quán)限審計(jì)、模式對(duì)象審計(jì)等等，通過(guò)審計(jì)可以跟蹤有異常的數(shù)據(jù)庫(kù)操作行為，從而為數(shù)據(jù)庫(kù)管理的優(yōu)化調(diào)整提供依據(jù)。

數(shù)據(jù)災(zāi)備

百密或有一疏，再可謂道高一尺，魔高一丈，沒(méi)有絕對(duì)的安全，因此做好數(shù)據(jù)災(zāi)備是必需的。一般采用數(shù)據(jù)的物理備份、邏輯備份和數(shù)據(jù)容災(zāi)三種方式，確保數(shù)據(jù)備份和容災(zāi)系統(tǒng)在發(fā)生災(zāi)難性事件時(shí)，數(shù)據(jù)能夠被快速恢復(fù)，從而提升數(shù)據(jù)的可用性。

數(shù)據(jù)庫(kù)定時(shí)巡檢

在軟硬件各種安全保障的前提下，人工巡檢也非常重要。巡檢內(nèi)容包括：

1.服務(wù)器負(fù)載情況：主要查看服務(wù)器是否出現(xiàn)自動(dòng)重啟、服務(wù)器資源使用情況、內(nèi)存使用情況、I/O使用情況、硬盤(pán)使用情況。

2.數(shù)據(jù)庫(kù)集群工作情況：主要查看集群工作狀態(tài)、集群下資源使用狀態(tài)。

3.數(shù)據(jù)庫(kù)資源及運(yùn)行狀況：表空間使用情況、監(jiān)聽(tīng)日志情況、alert日志情況、數(shù)據(jù)庫(kù)資源使用情況、數(shù)據(jù)同步日志。

巡檢中發(fā)現(xiàn)問(wèn)題，要根據(jù)查到的問(wèn)題對(duì)癥下藥，及時(shí)正確查找原因并解決，以保證數(shù)據(jù)庫(kù)系統(tǒng)的安全可靠運(yùn)行。

數(shù)據(jù)加密

隨著數(shù)據(jù)安全防護(hù)的迫切需求，嘗試基于加密算法和合理的密鑰管理，有選擇性地加密敏感字段內(nèi)容，能夠有效防止數(shù)據(jù)泄漏，對(duì)保護(hù)數(shù)據(jù)庫(kù)安全會(huì)起到很好的作用 。

重視數(shù)據(jù)庫(kù)系統(tǒng)安全工作，必須建立數(shù)據(jù)庫(kù)安全防護(hù)機(jī)制，面臨數(shù)據(jù)庫(kù)安全事件，綜合考慮技術(shù)和管理各方面能力，遵循“事前布防監(jiān)控與預(yù)警、事中應(yīng)急防御與反擊、事后分析追查與調(diào)整”的思路，全面縱深防御，保障數(shù)據(jù)庫(kù)系統(tǒng)安全。

（責(zé)編：王左利）

（作者單位為大連海事大學(xué)）

Gartner：云端數(shù)據(jù)庫(kù)安全是未來(lái)焦點(diǎn)

日前，Gartner發(fā)布“2017全球數(shù)據(jù)庫(kù)安全市場(chǎng)趨勢(shì)報(bào)告”，對(duì)全球數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)，應(yīng)對(duì)技術(shù)以及未來(lái)發(fā)展趨勢(shì)進(jìn)行了深度剖析。Gartner認(rèn)為，數(shù)據(jù)庫(kù)安全發(fā)展有幾大趨勢(shì)：

1.很少有數(shù)據(jù)庫(kù)安全產(chǎn)品能夠適應(yīng)越來(lái)越復(fù)雜應(yīng)用場(chǎng)景，這些場(chǎng)景可能涉及關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)（RDBMS），Hadoop，NoSQL和數(shù)據(jù)庫(kù)即服務(wù)（DBaaS）；

2.數(shù)據(jù)庫(kù)遷移到云上，用戶對(duì)云端數(shù)據(jù)安全性以及如何管理更為關(guān)心；

3.除了DAP之外，數(shù)據(jù)庫(kù)安全中如加密，脫敏，正在越來(lái)越受歡迎，以應(yīng)對(duì)快速變化的安全合規(guī)要求。

Gartner表示，用戶當(dāng)今面臨的最常見(jiàn)的數(shù)據(jù)庫(kù)安全威脅有：

1.SQL注入攻擊：利用數(shù)據(jù)庫(kù)自身的漏洞發(fā)起攻擊；

2.緩沖區(qū)溢出：目前最為普遍的數(shù)據(jù)庫(kù)漏洞之一；

3.默認(rèn)設(shè)置或弱口令：可能被黑客或內(nèi)部人員惡意利用；

4.配置錯(cuò)誤：一些可能形成安全風(fēng)險(xiǎn)的配置項(xiàng)；

5.用戶賬戶破壞：這可能是指黑客或內(nèi)部人員對(duì)低權(quán)限賬戶或默認(rèn)賬戶的惡意或非法操作；

6.數(shù)據(jù)所在地——各種數(shù)據(jù)隱私，健康，財(cái)務(wù)和信用卡的相關(guān)規(guī)定需要對(duì)數(shù)據(jù)訪問(wèn)進(jìn)行限定，對(duì)數(shù)據(jù)泄露事件進(jìn)行通知。