《企業(yè)數(shù)據(jù)庫安全“三維度”保障》要點：
本文介紹了企業(yè)數(shù)據(jù)庫安全“三維度”保障，希望對您有用。如果有疑問，可以聯(lián)系我們。

企業(yè)數(shù)據(jù)庫是承載企業(yè)信息資產(chǎn)安全的重要介質(zhì)和平臺,即使在云和大數(shù)據(jù)時代,其仍然是信息安全工作者不可忽略的危險地帶.由于關(guān)系數(shù)據(jù)庫可以支持范圍廣泛的不同類型的 應用程序和專利使用,他們通常在多個層次應用安全.安全的每一層被設計用于特定目的,并且可以用于提供授權(quán)規(guī)則.為了獲得訪問你最值得信賴的信息,用戶必 須在其中的一個或多個層次具有相應的權(quán)限.作為一名數(shù)據(jù)庫或系統(tǒng)管理員,你的工作是要確保障礙是適當?shù)母叨取簿褪钦f,你的安全模型同時考慮到了安全性 和可用性.本文將介紹如何從服務器、網(wǎng)絡、操作系統(tǒng)三個緯度考慮保障企業(yè)數(shù)據(jù)庫安全.

服務器級安全

數(shù)據(jù)庫應用程序是否安全,依賴于它所運行的服務器是否安全.因此,首先考慮數(shù)據(jù)庫被托管的物理服務器上的安全設置是非常重要的.在規(guī)模較小,配置簡單的組 織,你可能只有一臺機器需要確保安全.大型組織可能要安置多臺服務器.這些服務器可能地理上是分布的,甚至是復雜的集群配置.

你應該采取保護服務器的第一步是確定哪些用戶和應用程序應該能夠訪問它.現(xiàn)代數(shù)據(jù)庫平臺一般都是通過網(wǎng)絡進行訪問,并且大多數(shù)數(shù)據(jù)庫管理任務可以遠程執(zhí) 行.因此,除了物理維護數(shù)據(jù)庫的硬件,沒有必要有人能夠直接物理訪問一個數(shù)據(jù)庫.這也是非常重要的物理保護數(shù)據(jù)庫以防止非授權(quán)用戶訪問數(shù)據(jù)庫文件和數(shù)據(jù)備 份.如果非授權(quán)用戶可以獲得你服務器的物理訪問,就更難以防止進一步的破壞.

網(wǎng)絡級安全

如前所述,數(shù)據(jù)庫在各自的操作系統(tǒng)平臺上工作,為用戶提供他們所需要的數(shù)據(jù).因此,一般的操作系統(tǒng)和網(wǎng)絡級的安全也適用于數(shù)據(jù)庫.如果基礎平臺是不安全 的,這對于數(shù)據(jù)庫是顯著的漏洞.因為它們被設計為網(wǎng)絡應用程序,你必須采取合理步驟,以確保只有特定的客戶端可以訪問這些機器.

為保護數(shù)據(jù)庫的一些標準“最佳實踐”包括限制網(wǎng)絡和網(wǎng)絡地址直接訪問計算機.例如,你可能會實施路由規(guī)則和包過濾,以確保你的內(nèi)部網(wǎng)絡上只有特定用戶才可以與服務器進行通信.

舉個例子,微軟的SQL Server數(shù)據(jù)庫平臺使用默認的1433 TCP端口為客戶端與數(shù)據(jù)庫之間進行通信.如果你明確知道有沒有必要讓你網(wǎng)絡的特定子網(wǎng)用戶能夠直接訪問該服務器,那么阻止網(wǎng)絡訪問此TCP端口是明智 的.這樣做還可以防止惡意用戶和代碼(如病毒)從網(wǎng)絡上攻擊本機.另一個安全的做法是,改變服務器監(jiān)聽的默認端口.這可以很簡單地通過使用圖1所示的服務 器網(wǎng)絡實用工具來完成.

圖1使用服務器網(wǎng)絡工具來配置安裝Microsoft SQL Server網(wǎng)絡協(xié)議設置

當然,現(xiàn)實中很少數(shù)據(jù)庫是單獨工作的.一般情況下,這些系統(tǒng)常常由用戶通過任務關(guān)鍵型應用程序直接訪問.

保障數(shù)據(jù)庫中信息安全的另一種方法是使用加密.大多數(shù)現(xiàn)代數(shù)據(jù)庫支持客戶端和服務器之間的加密連接.雖然這些協(xié)議有時會顯著地增加處理和數(shù)據(jù)傳輸開銷(特 別是對于大量結(jié)果集或非常繁忙的服務器),但在某些情況下可能需要提高安全性.此外,通過使用虛擬專用網(wǎng)絡(VPN),系統(tǒng)管理員可以確保敏感數(shù)據(jù)在傳輸 過程中仍然受到保護.

根據(jù)實施, VPN解決方案可以提供的額外好處是使網(wǎng)絡管理員能夠無需客戶端或服務器重新配置而實現(xiàn)安全.數(shù)據(jù)加密也是網(wǎng)絡層以外領(lǐng)域的一個重要安全功能.通常情況 下,數(shù)據(jù)庫管理員將他們的數(shù)據(jù)備份,并將存儲在文件服務器上.這些文件服務器可能不如作為承載數(shù)據(jù)“實時”副本的敏感數(shù)據(jù)庫安全.要記住這是非常重要的, 默認情況下,大多數(shù)關(guān)系數(shù)據(jù)庫系統(tǒng)沒有為備份提供非常強大的安全功能.在大多數(shù)情況下,數(shù)據(jù)庫備份如實時數(shù)據(jù)庫本身具有同等價值,因此加密,妥善的管理文 件系統(tǒng)權(quán)限,以及相關(guān)的最佳實踐應被遵循.最后,數(shù)據(jù)加密也能有效地在數(shù)據(jù)庫中使用.許多類型的系統(tǒng)存儲敏感數(shù)據(jù),如信用卡號碼和密碼(用戶可能使用幾個 不同的應用程序).一個潛在的問題就在于這樣一個事實：數(shù)據(jù)庫開發(fā)人員和管理員常常需要為了做好自己的工作而擁有對這些數(shù)據(jù)庫表單的全部訪問權(quán)限.模糊數(shù) 據(jù)的一種方法是加密儲存在數(shù)據(jù)庫表中的值.在這種方式中,授權(quán)用戶將能夠在需要時訪問和修改數(shù)據(jù),但只限于調(diào)用應用程序能夠破譯并使它可用的數(shù)據(jù).對于某 些數(shù)據(jù)庫廠商,如Oracle,加密存儲在數(shù)據(jù)庫之外,若發(fā)生密鑰丟失,表列中的數(shù)據(jù)也將丟失.

[1] [2]

維易PHP培訓學院每天發(fā)布《企業(yè)數(shù)據(jù)庫安全“三維度”保障》等實戰(zhàn)技能，PHP、MYSQL、LINUX、APP、JS,CSS全面培養(yǎng)人才。

轉(zhuǎn)載請注明本頁網(wǎng)址：
http://www.snjht.com/jiaocheng/13252.html