防範重要資料和公民資訊洩露之資料庫安全

資料庫整合是一項複雜的工作。它不僅需要解決資料庫中存在的安全問題，還需要平衡各種安全合併方案的優缺點，確保每個安全問題的業務系統正常穩定。提出了加強資料庫漏洞、資料庫弱口令、資料庫身份認證、資料庫網路安全、資料庫審計與日誌安全、資料庫許可權配置、資料庫安全策略的資料後門木馬等方面的建議和方案。

資料庫安全

1. 資料庫漏洞加固

資料庫漏洞是資料庫安全強化的核心，也是各種檢測和滲透測試的關鍵。如何在保證系統穩定性的同時消除資料庫漏洞是大家都面臨的難題。

(I)更新和加強資料庫版本的方法

透過資料庫漏洞掃描工具對資料庫進行檢測後，將資料庫元件、版本、補丁號等關鍵資訊過濾掉資料庫中的安全漏洞列表，形成資料庫安全檢查報告。在報告中，為資料庫的漏洞提供了每個漏洞的修補程式連結。使用者可以選擇下載資料庫補丁升級以解決現有的資料庫漏洞。然而，為了避免資料庫升級後應用程式的不穩定或不可用問題，需要進行一系列的應用程式穩定性測試。一般來說，一個完整的應用程式穩定性測試也需要很長時間。這種比較適合在逐步穩定計劃的情況下使用。

（2）第三方工具強化

對於更緊急的情況，不建議升級資料庫漏洞以解決安全問題。建議將具有虛擬補丁功能的資料庫防火牆產品在資料庫前串聯部署。虛擬補丁幫助資料庫防止對資料庫的漏洞發現和漏洞滲透攻擊。防止攻擊者利用漏洞對資料庫發起直接攻擊。

2.資料庫弱密碼增強

(I)修改薄弱密碼加固方法

增強弱密碼最直接的方法是將弱密碼修改為強密碼。直接修改資料庫帳戶的密碼並不複雜，但衍生問題比較複雜。如果多個業務系統同時使用相同的資料庫帳戶，則需要多個業務系統更改密碼以共同訪問資料庫。在此過程中，可能會出現遺忘、導致業務中斷等問題。

（2）第三方工具強化

除了直接修改弱密碼外，還可以利用具有資料庫密碼橋接功能的第三方軟體解決弱密碼問題。密碼橋是一種用來對映資料庫和應用系統密碼的軟體。它在應用程式和資料庫之間串聯。使用密碼訪問資料庫，密碼橋透過更改登入包的方式將應用程式的錯誤密碼對映到資料庫的正確密碼，並幫助應用程式連線到資料庫。

資料庫更改密碼後，不需要調整所有應用程式對資料庫的訪問密碼。只需修改中間密碼橋的對映表即可。使用密碼橋可以有效降低由於修改弱密碼而導致的潛在業務中斷風險。

3。資料庫身份認證的強化方法

(1)提高資料庫的自認證能力。

需要根據不同情況加強資料庫身份驗證的強化。如果資料庫缺少資料庫身份驗證功能，則需要使用資料庫身份驗證升級到資料庫版本。如果未啟用資料庫身份驗證功能，則只需調整引數即可啟用資料庫身份驗證功能。

（2）第三方工具強化

如果升級資料庫有困難，則資料庫缺乏身份驗證能力。也可以後退並使用資料庫防火牆的ip/mac繫結來鎖定允許訪問資料庫的固定機器，這在某種程度上彌補了資料庫認證的不足。

4。資料庫網路安全的加固方法

(1)提高資料庫自身網路的加密能力。

需要根據不同情況加強資料庫網路安全加固。如果沒有資料庫網路加密功能，則需要升級到具有網路加密的資料庫版本。如果未啟用資料庫網路加密功能，則只需調整引數即可啟用網路加密功能。

但請注意，加密的資料庫網路通訊協議會導致許多資料庫監控和審計軟體不能正常工作。

（2）第三方工具強化

網路加密的目的是防止中間人攻擊。其次，利用資料庫防火牆的IP/Mac繫結來鎖定固定的機器，允許對資料庫的訪問，在一定程度上彌補了網路明文帶來的安全威脅。

5。資料庫審計與日誌安全加固方法

（1）開放資料庫審計和日誌強化方法

資料庫審計和日誌幫助客戶跟蹤攻擊。因此，加強審計的主要途徑是公開審計和記錄，制定嚴格的戰略。

（2）第三方工具強化

除了開啟資料庫自己的稽核和日誌之外，稽核日誌開啟還會對資料庫效能產生影響。第三方資料庫審計工具也可以用來完成資料庫審計日誌的安全加固任務。

6。資料庫許可權配置的安全增強方法

（1）資料庫自我特權配置強化方法

根據資料庫帳戶/角色許可權配置列表與客戶資料庫管理員通訊。根據許可權最小化的原則減少資料庫帳戶的許可權。

（2）第三方工具強化

由於資料庫帳戶和角色的之間關係的複雜性，很容易造成越來越多的混亂，甚至產生新的許可權問題。您還可以使用具有細粒度控制功能的資料庫防火牆產品。在資料庫之外執行一層資料庫許可權設定。這樣既避免了資料庫自身許可權的混亂，又解決了資料庫許可權不符合最小化原則的問題。

7。加強資料庫安全策略的方法

透過配置資料庫安全策略而不影響服務，可以加強資料庫安全策略。

8。資料庫後門/木馬清理方法

可疑的資料庫後門/木馬觸發器或儲存過程需要在dba確認與業務無關後進行清理和跟蹤。

中安威士：保護核心資料，捍衛網路安全

來源：網路收集