文 /馮潔瑩 張華 鄭強(qiáng)

浙江大學(xué)整合數(shù)據(jù)庫(kù)的軟件和硬件

文 /馮潔瑩 張華 鄭強(qiáng)

近年來(lái)，隨著高校師生敏感數(shù)據(jù)泄露、篡改等多種安全事件的不斷發(fā)生，各高校越來(lái)越重視數(shù)據(jù)庫(kù)的安全防護(hù)和加固。本文結(jié)合浙江大學(xué)數(shù)據(jù)庫(kù)現(xiàn)狀，對(duì)現(xiàn)有的安全策略和正在推進(jìn)的強(qiáng)化措施進(jìn)行介紹。

浙江大學(xué)數(shù)據(jù)庫(kù)現(xiàn)狀

浙江大學(xué)現(xiàn)階段使用的是一種集中專(zhuān)用的數(shù)據(jù)庫(kù)硬件架構(gòu)，即“服務(wù)器+數(shù)據(jù)庫(kù)+存儲(chǔ)設(shè)備”的數(shù)據(jù)處理架構(gòu)。針對(duì)浙江大學(xué)真實(shí)的數(shù)據(jù)庫(kù)應(yīng)用環(huán)境，以及每年遞增的數(shù)據(jù)庫(kù)使用需求，目前浙江大學(xué)信息技術(shù)中心已先后在三個(gè)機(jī)房部署多套數(shù)據(jù)庫(kù)集群，這些集群分別部署在虛擬機(jī)和物理PC服務(wù)器上。

以前的數(shù)據(jù)庫(kù)運(yùn)行在不同物理服務(wù)器的不同平臺(tái)上，設(shè)備普遍比較老舊。此外，各套數(shù)據(jù)庫(kù)之間版本不統(tǒng)一且普遍版本過(guò)舊，漏洞多，性能低下，維護(hù)成本較高。同時(shí)，隨著硬件技術(shù)的改進(jìn)，尤其是 CPU數(shù)量的增加，服務(wù)器能夠處理更多的工作負(fù)載，而數(shù)據(jù)庫(kù)只使用了服務(wù)器硬件容量的一部分，導(dǎo)致硬件資源無(wú)法得到充分利用，造成一定的資源浪費(fèi)。上述種種原因造成了在現(xiàn)有的數(shù)據(jù)庫(kù)環(huán)境下，直接添加安全防護(hù)措施的難度和成本將大大增加。

因此，浙江大學(xué)信息技術(shù)中心目前正在全面推進(jìn)數(shù)據(jù)庫(kù)的整合升級(jí)工作?；谡憬髮W(xué)現(xiàn)有的硬件環(huán)境，依然采取傳統(tǒng)的數(shù)據(jù)庫(kù)集群架構(gòu)，通過(guò)軟件層面升級(jí)，實(shí)現(xiàn)數(shù)據(jù)庫(kù)軟件及硬件的整合統(tǒng)一，調(diào)整后的架構(gòu)如圖1。

數(shù)據(jù)庫(kù)整合統(tǒng)一后，信息技術(shù)中心維護(hù)的所有數(shù)據(jù)庫(kù)將共用同一套服務(wù)器、數(shù)據(jù)庫(kù)系統(tǒng)和存儲(chǔ)設(shè)備，在安全方面最直接的好處是所有的安全防護(hù)設(shè)備可以統(tǒng)一部署，為后續(xù)安全工作的開(kāi)展打好基礎(chǔ)。

圖1 整合后的數(shù)據(jù)庫(kù)系統(tǒng)架構(gòu)

數(shù)據(jù)庫(kù)安全策略配置

浙江大學(xué)數(shù)據(jù)庫(kù)在保障服務(wù)器及網(wǎng)絡(luò)環(huán)境安全防范的基礎(chǔ)上充分利用數(shù)據(jù)庫(kù)系統(tǒng)自身的策略進(jìn)行安全防護(hù)，主要包括如下幾個(gè)方面：

訪(fǎng)問(wèn)控制和權(quán)限控制

1.基本參數(shù)設(shè)置

要對(duì)一些基本參數(shù)進(jìn)行設(shè)置，如：用戶(hù)密碼必須為復(fù)雜密碼；設(shè)置密碼失效時(shí)間和密碼過(guò)期提示；密碼使用一段時(shí)間后強(qiáng)制要求重置密碼；限制登錄失敗重試次數(shù)；設(shè)置賬號(hào)鎖定時(shí)長(zhǎng)等等。

2.用戶(hù)權(quán)限控制

要對(duì)用戶(hù)的權(quán)限進(jìn)行嚴(yán)格控制。申請(qǐng)用戶(hù)權(quán)限需提交書(shū)面申請(qǐng)，同時(shí)數(shù)據(jù)庫(kù)維護(hù)人員要對(duì)用戶(hù)申請(qǐng)的權(quán)限進(jìn)行審核。僅授予用戶(hù)所需的權(quán)限，限制用戶(hù)操縱數(shù)據(jù)庫(kù)的權(quán)利；僅允許用戶(hù)對(duì)其名下的數(shù)據(jù)庫(kù)實(shí)體進(jìn)行存取執(zhí)行，阻止用戶(hù)訪(fǎng)問(wèn)非授權(quán)數(shù)據(jù)。

3.視圖機(jī)制

要采用視圖機(jī)制，限制用戶(hù)存取基表的行和列集合。

數(shù)據(jù)庫(kù)備份

1.數(shù)據(jù)庫(kù)啟用自動(dòng)歸檔

歸檔日志是非活動(dòng)的重做日志備份。通過(guò)使用歸檔日志，可以保留所有重做歷史記錄，可用于用戶(hù)數(shù)據(jù)文件的恢復(fù)。

2.數(shù)據(jù)庫(kù)啟用自動(dòng)物理備份

物理備份是對(duì)數(shù)據(jù)庫(kù)的物理文件（數(shù)據(jù)文件、控制文件、參數(shù)文件、歸檔日志文件）進(jìn)行轉(zhuǎn)儲(chǔ)，一旦數(shù)據(jù)庫(kù)發(fā)生故障，可以利用這些文件恢復(fù)到數(shù)據(jù)庫(kù)的失效點(diǎn)。物理備份分為熱備份和冷備份。由于冷備份需要數(shù)據(jù)庫(kù)暫時(shí)處于關(guān)閉狀態(tài)，因此浙江大學(xué)的數(shù)據(jù)庫(kù)采用熱備份的方式。

3.數(shù)據(jù)庫(kù)啟用自動(dòng)邏輯備份

邏輯備份是對(duì)數(shù)據(jù)庫(kù)對(duì)象（用戶(hù)、表、存儲(chǔ)過(guò)程等）進(jìn)行轉(zhuǎn)儲(chǔ)。

4.數(shù)據(jù)庫(kù)啟用控制文件自動(dòng)備份

控制文件是一類(lèi)物理文件，它的重要性在于它記錄了數(shù)據(jù)庫(kù)名字、數(shù)據(jù)文件位置等信息，一旦控制文件被損壞，數(shù)據(jù)庫(kù)將會(huì)宕機(jī)。因此，需要在不同的物理路徑下備份控制文件。

5.數(shù)據(jù)庫(kù)啟用歸檔日志自動(dòng)刪除

數(shù)據(jù)庫(kù)已開(kāi)啟了自動(dòng)物理和邏輯備份，因此歸檔日志存在大量冗余，為提高空間的可用性和利用率，需對(duì)已備份的歸檔日志進(jìn)行自動(dòng)刪除，充分利用存儲(chǔ)空間。

數(shù)據(jù)庫(kù)審計(jì)

數(shù)據(jù)庫(kù)審計(jì)可以記錄對(duì)數(shù)據(jù)庫(kù)對(duì)象的所有操作。無(wú)論哪種數(shù)據(jù)庫(kù)系統(tǒng)，均會(huì)提供不同的審計(jì)方法來(lái)監(jiān)控使用何種權(quán)限，以及訪(fǎng)問(wèn)哪些對(duì)象。審計(jì)不會(huì)防止使用這些權(quán)限，但可以提供有用的信息，用于揭示權(quán)限的濫用和誤用。

審計(jì)一般可以分為三類(lèi)：語(yǔ)句審計(jì)、權(quán)限審計(jì)和對(duì)象審計(jì)。但過(guò)度的審計(jì)可能會(huì)對(duì)數(shù)據(jù)庫(kù)性能產(chǎn)生負(fù)面影響，因此應(yīng)該先對(duì)關(guān)鍵的權(quán)限和對(duì)象進(jìn)行基礎(chǔ)審計(jì)，然后根據(jù)需要再擴(kuò)展審計(jì)。

浙江大學(xué)現(xiàn)有的數(shù)據(jù)庫(kù)審計(jì)采用對(duì)更新、刪除等權(quán)限以及重點(diǎn)單位名下對(duì)象進(jìn)行基礎(chǔ)審計(jì)的模式，擴(kuò)展審計(jì)根據(jù)重要級(jí)別按需增加。整合后的數(shù)據(jù)庫(kù)系統(tǒng)上將繼續(xù)采用原有的審計(jì)模式。考慮到新數(shù)據(jù)庫(kù)性能更優(yōu)，將適當(dāng)調(diào)整審計(jì)范圍和程度，保證在基本不影響性能的情況下，實(shí)現(xiàn)最大程度的審計(jì)力度。后續(xù)還將考慮添加數(shù)據(jù)庫(kù)外部審計(jì)，如基于網(wǎng)絡(luò)偵聽(tīng)的外部審計(jì)設(shè)備等。

其他安全防護(hù)措施

1.數(shù)據(jù)庫(kù)災(zāi)備

數(shù)據(jù)庫(kù)災(zāi)備包括數(shù)據(jù)庫(kù)容災(zāi)和數(shù)據(jù)庫(kù)備份。容災(zāi)在數(shù)據(jù)庫(kù)遭遇人為或自然災(zāi)害時(shí)保證業(yè)務(wù)的正常運(yùn)行；備份保證災(zāi)難來(lái)臨時(shí)不會(huì)造成數(shù)據(jù)的丟失。數(shù)據(jù)庫(kù)災(zāi)備為數(shù)據(jù)庫(kù)實(shí)現(xiàn)高可用性提供重要保障。

目前浙江大學(xué)一些核心系統(tǒng)已實(shí)現(xiàn)災(zāi)備。在數(shù)據(jù)庫(kù)整合統(tǒng)一后，將搭建統(tǒng)一的災(zāi)備系統(tǒng)，為主生產(chǎn)系統(tǒng)提供保障，一旦主生產(chǎn)系統(tǒng)因人為攻擊或自然災(zāi)害而無(wú)法繼續(xù)提供數(shù)據(jù)服務(wù)時(shí)，災(zāi)備系統(tǒng)可以立刻接管業(yè)務(wù)，并在主數(shù)據(jù)庫(kù)恢復(fù)后將業(yè)務(wù)回切，以保證業(yè)務(wù)的不中斷，同時(shí)硬件資源也能達(dá)到最大化的利用。

2.堡壘機(jī)

堡壘機(jī)是一個(gè)統(tǒng)稱(chēng)，不同的生產(chǎn)廠(chǎng)商對(duì)其有不同的命名。它運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件和網(wǎng)絡(luò)活動(dòng)，并對(duì)收集到的信息進(jìn)行集中報(bào)警、記錄、分析和處理，從而保障系統(tǒng)不受來(lái)自外部和內(nèi)部用戶(hù)的入侵和破壞。

以往，一旦發(fā)現(xiàn)疑似數(shù)據(jù)庫(kù)安全事件，往往需要數(shù)據(jù)庫(kù)維護(hù)人員根據(jù)已有的線(xiàn)索，翻閱日志，分析原因并采取措施。而考慮到數(shù)據(jù)庫(kù)性能，數(shù)據(jù)庫(kù)審計(jì)往往不會(huì)過(guò)于精細(xì)，導(dǎo)致可參考的審計(jì)內(nèi)容有限，增加了分析處理的難度。此外，以往對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)的控制往往通過(guò)用戶(hù)賬戶(hù)密碼和IP地址過(guò)濾來(lái)實(shí)現(xiàn)，局限性大，且無(wú)法審計(jì)用戶(hù)連接數(shù)據(jù)庫(kù)后的操作，存在很大的安全隱患。

堡壘機(jī)通常具備跨平臺(tái)管理、多維度訪(fǎng)問(wèn)控制與授權(quán)、運(yùn)維行為審計(jì)、審計(jì)信息管理等功能。將堡壘機(jī)采用“物理旁路、邏輯串聯(lián)”的方式部署在數(shù)據(jù)庫(kù)系統(tǒng)上后，所有的用戶(hù)必須通過(guò)堡壘機(jī)才能訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，用戶(hù)的所有操作行為都將被記錄存儲(chǔ)下來(lái)，從而實(shí)現(xiàn)對(duì)用戶(hù)的操作審計(jì)。對(duì)高校而言，堡壘機(jī)通過(guò)集中的賬號(hào)管理、運(yùn)維操作訪(fǎng)問(wèn)控制和全程運(yùn)維操作審計(jì)，能幫助高校信息部門(mén)轉(zhuǎn)變傳統(tǒng)的安全運(yùn)維被動(dòng)響應(yīng)模式，建立面向用戶(hù)的集中、主動(dòng)的運(yùn)維安全管控模式，降低人為安全風(fēng)險(xiǎn)，保障高校運(yùn)維的安全穩(wěn)定運(yùn)行。

浙江大學(xué)在確保服務(wù)器及網(wǎng)絡(luò)環(huán)境安全的前提下，合理配置數(shù)據(jù)庫(kù)安全策略，結(jié)合數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)災(zāi)備和即將配置的堡壘機(jī)，將全面保障學(xué)校數(shù)據(jù)庫(kù)系統(tǒng)的安全穩(wěn)定運(yùn)行。

技術(shù)在不斷革新，數(shù)據(jù)庫(kù)技術(shù)日新月異，隨之而來(lái)的安全隱患也源源不斷。除了不斷更新數(shù)據(jù)庫(kù)安全防護(hù)策略和措施外，也應(yīng)加強(qiáng)對(duì)數(shù)據(jù)庫(kù)用戶(hù)、管理員的安全意識(shí)和安全操作培訓(xùn)，從多方面保障數(shù)據(jù)庫(kù)的安全。

（責(zé)編：王左利）

(作者單位為浙江大學(xué)信息技術(shù)中心)