網絡數據庫的安全問題及對策

文/趙志剛

近期數據安全事件不斷涌現，美國證券交易委員會（SEC）正式發布公告承認，黑客曾成功入侵其存儲上市企業備案文件的網絡系統，導致數據庫內敏感信息或已被用于非法的內幕交易；美國三大征信機構之一的Equifax數據庫也遭受網絡攻擊，致使約1.43億美國人的個人信息被泄露，這些網絡數據安全事故為企業的網絡安全敲響了警鐘

1 網絡數據庫存在的安全問題

網絡數據庫存在的安全問題主要體現在以下三個方面：

1.1 黑客盜取身份認證

騰訊、微軟等企業都曾經被黑客攻擊企業系統，導致客戶信息被盜取，客戶安全受到了極大的威脅。

1.2 安全系統模型的不完善

網絡數據庫的安全系統構建是在完善的數據庫模型的基礎上的，然而，目前網絡數據庫的安全模型并不十分的完善。

1.3 數據庫存在安全漏洞

網絡黑客根據系統的安全漏洞進行網絡攻擊，以達到竊取數據庫的目的。許多網絡數據庫是在斷網的條件下運行的，但是，斷網也不能完全抵抗黑客的攻擊。與此同時，斷網修補安全漏洞的時間較長，造成了企業一定的經濟損失。

2 網絡數據庫安全技術的實現

2.1 身份認證的安全技術

身份認證是保證網絡數據庫安全的重要手段，目前已經大量應用于網上銀行、電子商務等互聯網交易中。如果用戶擁有某電子認證服務機構（CA）頒發的數字證書并能夠使用其電子簽名，則可以利用已有的數字證書進行互聯網的身份認證，這種方式無論從使用成本還是身份認證的可靠性上都是最好的選擇。互聯網相關服務商通過電子認證服務機構驗證數字證書的真實性，并獲取用戶的身份認證信息，即可識別真實身份，安全可靠，簡單易行。

云脈立足于身份認證技術的前沿推出“身份認證”以實名認證系統為核心，包含了：身份證識別、身份認證、人證對比等實名認證功能，為各行各業提供實名認證接口，實現更便捷、更精準更安全的實名認證服務。該方案的技術核心為三類智能：生物智能、設備智能和行為智能。利用OCR身份證識別技術和人臉識別對用戶身份信息進行快速采集并聯網驗證，再通過人臉識別進行活體檢測并留取現場人臉照片和人像做對比，通過權威數據接口驗證身份的合法性，使用多重方式來確保人證一致。

2.2 安全系統模型的建立

網絡數據庫安全系統模型的建立可以從以下幾方面入手：

2.2.1 使用數據庫代理

數據庫代理或網關代理介于應用程序和數據庫之間，接收來自應用程序的鏈接，然后代表這些應用程序連接到數據庫。智能數據庫代理提供最大范圍的過濾，其模塊提供安全、可靠、可擴展性和性能優勢；

2.2.2 建立審計和日志

審計和日志記錄相互關聯，但是審計日志比一般日志復雜得多。審計日志給你所有的信息，你需要調查可疑活動，并進行根本原因分析，并且可以看到誰在給定的時間內進行了訪問，以及誰插入或刪除了數據；

2.2.3 實行用戶賬戶管理

仔細管理數據庫用戶帳戶是非常必要的。其中，用戶帳戶管理的幾個關鍵方面：只允許本地客戶端訪問root權限、始終使用密碼、為每個應用程序都有一個獨立的數據庫用戶帳戶、限制訪問數據庫服務器的IP地址的數量；

2.2.4 對應用程序中的敏感數據進行加密操作

許多企業忽視加密文件，但它可以是相當有價值的，可以減少黑客的動機。

為有效貫徹《網絡安全法》，幫助政府行業防御勒索病毒，保護數據安全，12月17日，“數據庫與終端數據安全研討會”在北京召開。會議中，推出最新研發的DCAP產品“數據庫防水壩、數據庫防火墻和數據脫敏系統”。數據庫防水壩圍繞核心敏感數據具備防撞庫攻擊、敏感數據訪問控制、特權用戶權限控制、危險操作防范與恢復，及運維操作審計和分析等功能；數據庫防火墻對SQL注入、DDOS攻擊、漏洞攻擊、拖庫和撞庫等外部攻擊威脅進行檢測和防御；數據脫敏系統為開發測試培訓環境、數據交易、數據交換、數據分析等數據應用場景提供脫敏后的業務數據。

2.3 數據庫安全漏洞的修復

數據庫的安全漏洞往往給黑客提供可乘之機，是黑客進行網絡攻擊的重要途徑。企業的網絡數據庫往往出現離線服務器數據泄露的問題，公司數據庫可能會托管在不接入互聯網的服務器上，但這并不意味著對基于互聯網的威脅完全免疫，無論有沒有互聯網連接，數據庫都有可供黑客切入的網絡接口。為了解決這一問題，應該將數據庫服務器當成聯網服務器一樣看待，做好相應的安全防護。

11月20日，甲骨文在舊金山召開了年度用戶大會，公司聯合創始人兼執行董事長拉里-埃里森（Larry Ellison）在大會上發布了一套面向網絡安全的新產品，該產品可以在不離線的情況下自行修復網絡安全漏洞。這款自動化數據庫名為Oracle 18c，可以在運行過程中自行修復安全漏洞。目前的數據庫必須停機下線才能修復網絡安全漏洞，相比之下，新數據庫顯然要先進一些，Oracle 18c并不能避免此類安全事故，但是必須將網絡防護自動化程度提高，必須能夠在不讓電腦系統離線或關閉數據庫的情況下進行自我保護以及漏洞修復。

3 結束語

綜上所述，通過身份認證的安全技術、安全系統模型的建立、數據庫安全漏洞的修復三個方面網絡數據庫安全技術的實現，可以有效的保證網絡數據庫的安全性。數據庫的泄露會給企業和個人帶來嚴重的安全隱患以及巨大的經濟損失，隨著網絡數據庫應用的逐漸廣泛，其安全技術也會隨之升級。

參考文獻

[1]本刊訊.高校數據庫安全一鍵交付賽爾網絡與安華金和簽署戰略合作協議[J].中國教育網絡,2017(09):57.

[2]刁慧婷.計算機網絡數據庫的安全管理技術[J].通信電源技術,2017,34(01):145-146.