保障高校數據庫安全需定時巡檢

文/李驥奮 王效轍

保障高校數據庫安全需定時巡檢

文/李驥奮 王效轍

百密或有一疏，再可謂道高一尺，魔高一丈，沒有絕對的安全，因此做好數據災備是必須的。

數據庫系統安全是一項綜合性的系統工作，貫穿數據庫系統環境構建初始到數據庫系統應用的整個過程。大連海事大學經過多年的實踐與摸索，逐步建成了適合學校實際應用的數據庫系統安全體系。

數據庫系統安全環境構建

安全環境構建主要有硬件環境、軟環境和網絡環境三個方面。

1.硬件冗余是數據庫安全的硬件基礎，可避免因硬件的單點故障帶來的數據庫系統安全問題。

2.搭建軟環境的數據庫集群，可確保數據庫服務的負載均衡和失效轉移，避免因軟環境的單點故障帶來的服務安全問題。采用集群架構，配置多個服務器節點，節點之間通過私有網絡進行通信，互相監控節點的運行狀態，所有集群節點可以共享讀寫共享存儲。

3.通過在核心交換機劃分VLAN，將數據庫服務器的網絡網段設定為內部私網地址，并配置VLAN間訪問控制，實現前端服務器和數據庫服務器之間分離，可在一定程度上保障數據庫系統的網絡訪問安全。

數據庫參數和性能調優

1.調整內存參數

調整內存參數是較常用的優化方法。根據數據庫實際運行的工作負荷、統計情況，調整相應參數值，以確保數據庫系統自身運維環境的可靠性。

2.開啟數據庫歸檔模式

當出現介質損壞、誤操作時，數據庫管理員可以憑借歸檔日志文件來防止丟失數據，從而當數據庫出現意外故障時，最大限度地保護數據的安全性。

3.在線重做日志緩沖區調整

設置合適的重做日志緩沖區值，可以避免重做日志緩沖區寫入失敗，提高進程的寫入效率，從而提高數據庫性能。

4.限制最大連接數

根據數據庫軟硬件平臺的實際性能，設置數據庫的最大連接數參數，保障業務穩定性。

數據庫系統管理安全性策略

1.數據庫系統管理員

保護管理者與數據庫的連接，只有數據庫管理者能用管理權限連入數據庫。修改數據庫默認賬號密碼，加強靜態口令認證的密碼復雜度控制。

2.用戶安全管理

按照用戶或應用分配數據庫賬號，避免共享賬號，刪除或鎖定與數據庫運行、維護等工作無關的賬號；將用戶權限最小化，對賬號的屬性進行控制，包括密碼策略、資源限制等。

3.權限管理

只有給用戶授予了特定權限或角色之后，該用戶才能連接到數據庫，進而執行相應的SQL語句或進行對象訪問操作。同時可以通過回收權限的命令對所授予的權限進行回收。

4.數據庫漏洞

數據庫版本升級與打補丁，盡可能地堵住潛在的各種漏洞，防止非法用戶利用它們侵入數據庫系統。數據庫軟件版本盡量保持穩定，尤其是要及時為數據庫安裝各種安全補丁。

數據庫審計

部署獨立的數據庫安全審計設備，采用外掛旁路的方式，通過網絡端口的數據映射，將數據庫系統訪問的數據流量映射給第三方數據庫安全審計設備，從而既能達到數據庫審計目的，又不會給數據庫系統帶來額外的系統負載和開銷。審計工具用于記錄關于數據庫操作的信息，如操作是何時發生的，是哪個用戶在執行；可進行SQL語句審計、權限審計、模式對象審計等等，通過審計可以跟蹤有異常的數據庫操作行為，從而為數據庫管理的優化調整提供依據。

數據災備

百密或有一疏，再可謂道高一尺，魔高一丈，沒有絕對的安全，因此做好數據災備是必需的。一般采用數據的物理備份、邏輯備份和數據容災三種方式，確保數據備份和容災系統在發生災難性事件時，數據能夠被快速恢復，從而提升數據的可用性。

數據庫定時巡檢

在軟硬件各種安全保障的前提下，人工巡檢也非常重要。巡檢內容包括：

1.服務器負載情況：主要查看服務器是否出現自動重啟、服務器資源使用情況、內存使用情況、I/O使用情況、硬盤使用情況。

2.數據庫集群工作情況：主要查看集群工作狀態、集群下資源使用狀態。

3.數據庫資源及運行狀況：表空間使用情況、監聽日志情況、alert日志情況、數據庫資源使用情況、數據同步日志。

巡檢中發現問題，要根據查到的問題對癥下藥，及時正確查找原因并解決，以保證數據庫系統的安全可靠運行。

數據加密

隨著數據安全防護的迫切需求，嘗試基于加密算法和合理的密鑰管理，有選擇性地加密敏感字段內容，能夠有效防止數據泄漏，對保護數據庫安全會起到很好的作用 。

重視數據庫系統安全工作，必須建立數據庫安全防護機制，面臨數據庫安全事件，綜合考慮技術和管理各方面能力，遵循“事前布防監控與預警、事中應急防御與反擊、事后分析追查與調整”的思路，全面縱深防御，保障數據庫系統安全。

（責編：王左利）

（作者單位為大連海事大學）

Gartner：云端數據庫安全是未來焦點

日前，Gartner發布“2017全球數據庫安全市場趨勢報告”，對全球數據庫安全風險，應對技術以及未來發展趨勢進行了深度剖析。Gartner認為，數據庫安全發展有幾大趨勢：

1.很少有數據庫安全產品能夠適應越來越復雜應用場景，這些場景可能涉及關系數據庫管理系統（RDBMS），Hadoop，NoSQL和數據庫即服務（DBaaS）；

2.數據庫遷移到云上，用戶對云端數據安全性以及如何管理更為關心；

3.除了DAP之外，數據庫安全中如加密，脫敏，正在越來越受歡迎，以應對快速變化的安全合規要求。

Gartner表示，用戶當今面臨的最常見的數據庫安全威脅有：

1.SQL注入攻擊：利用數據庫自身的漏洞發起攻擊；

2.緩沖區溢出：目前最為普遍的數據庫漏洞之一；

3.默認設置或弱口令：可能被黑客或內部人員惡意利用；

4.配置錯誤：一些可能形成安全風險的配置項；

5.用戶賬戶破壞：這可能是指黑客或內部人員對低權限賬戶或默認賬戶的惡意或非法操作；

6.數據所在地——各種數據隱私，健康，財務和信用卡的相關規定需要對數據訪問進行限定，對數據泄露事件進行通知。