在大數(shù)據(jù)和云計算迅速發(fā)展的背景下,政府和企業(yè)都將自己的應(yīng)用逐步的遷移到云環(huán)境中,用戶數(shù)據(jù)需要存儲在云端,伴隨而來的是云平臺數(shù)據(jù)庫平安風險增加.在云環(huán)境下無論是用戶自建數(shù)據(jù)庫還是使用云平臺提供的數(shù)據(jù)庫服務(wù),都可能因數(shù)據(jù)庫存在漏洞和風險以及特權(quán)用戶惡意或者無意的操作造成數(shù)據(jù)泄露.在這里重點介紹一下數(shù)據(jù)庫自身潛在的風險,以及相應(yīng)的防護技術(shù),后續(xù)會重點介紹數(shù)據(jù)庫訪問控制、加密、平安審計等技術(shù).

1) 數(shù)據(jù)庫自身漏洞問題

數(shù)據(jù)庫軟件系統(tǒng)和操作系統(tǒng)自身存在相關(guān)的漏洞,這些漏洞可能是導(dǎo)致數(shù)據(jù)庫成為黑客進擊的目標,引起核心的企業(yè)數(shù)據(jù)泄露.

2) 用戶弱口令及權(quán)限分派問題

數(shù)據(jù)庫存在用戶弱口令的問題,會引起口令被猜測和破解,從而導(dǎo)致數(shù)據(jù)庫數(shù)據(jù)被盜取泄露.數(shù)據(jù)庫用戶權(quán)限分配不合理問題容易造成內(nèi)部人員權(quán)限濫用盜取泄露核心數(shù)據(jù).

3) 數(shù)據(jù)庫運行狀態(tài)無法及時監(jiān)控問題

云平臺服務(wù)商提供的數(shù)據(jù)庫服務(wù)只能對數(shù)據(jù)庫自己的硬件信息進行狀態(tài)監(jiān)控(內(nèi)存、磁盤空間、CPU),無法對數(shù)據(jù)庫連接數(shù)、性能、SQL響應(yīng)時間等信息進行監(jiān)控,無法直觀的了解數(shù)據(jù)庫的運行狀況.

為了及時的了解數(shù)據(jù)庫存在的風險,實時的了解數(shù)據(jù)庫的運行狀態(tài),需要有專門的數(shù)據(jù)庫平安產(chǎn)品,提高數(shù)據(jù)庫的平安性.由北京中安星云軟件技術(shù)有限公司開發(fā)的數(shù)據(jù)庫監(jiān)控掃描產(chǎn)品可以有效的解決這些問題.

中安星云云數(shù)據(jù)庫監(jiān)控掃描產(chǎn)物主要功能點如下：

1) 風險及漏洞掃描

支持對云數(shù)據(jù)庫的弱口令檢測、權(quán)限分配、數(shù)據(jù)庫漏洞掃描功能.能夠發(fā)現(xiàn)各種管理和系統(tǒng)風險及數(shù)據(jù)庫不合理的配置項,及時通知管理員,提升數(shù)據(jù)庫使用的平安性,減少數(shù)據(jù)庫被攻擊的風險.

圖1 風險及漏洞掃描

2) 狀態(tài)監(jiān)控

支持對云數(shù)據(jù)庫的系統(tǒng)內(nèi)存使用狀況、緩沖區(qū)管理統(tǒng)計、文件系統(tǒng)狀態(tài)、用戶會話連接狀況、用戶查詢響應(yīng)性能等數(shù)據(jù)庫信息的狀態(tài)監(jiān)控,在數(shù)據(jù)庫狀態(tài)異常時進行預(yù)警,保證數(shù)據(jù)庫系統(tǒng)的可用性和響應(yīng)才能.

圖2 狀態(tài)監(jiān)控

3) 強大的平臺支持才能

產(chǎn)物能夠以鏡像的模式部署在主流的云平臺中,如：阿里云、青云、騰訊云、華為云等.能夠支持云平臺提供的數(shù)據(jù)庫如rds、rdb等；能夠?qū)racle、SQL server、達夢、Mysql、DB2、人大金倉、Sybase、Informix等主流數(shù)據(jù)庫的監(jiān)控掃描.

云數(shù)據(jù)庫監(jiān)控掃描產(chǎn)物部署方式

通過旁路方式部署在云網(wǎng)絡(luò)中任何節(jié)點,與數(shù)據(jù)庫之間路由可達即可,可以對數(shù)據(jù)庫進行弱口令檢測、風險掃描、狀態(tài)監(jiān)控,并能生成相關(guān)報表.

圖3 部署方式

(起源：中安星云 黃芳 郝文琛)