隨著互聯(lián)網(wǎng)應(yīng)用的普及和人們對(duì)互聯(lián)網(wǎng)的依賴,公民個(gè)人隱私安全泄露問題也日益凸顯�。對(duì)于政府部門、大型企事業(yè)單位來說�����,其業(yè)務(wù)數(shù)據(jù)是國家戰(zhàn)略基礎(chǔ)信息�,涉及億萬人民生產(chǎn)生活,不容有失�����。為了全面加強(qiáng)公民數(shù)據(jù)安全的保護(hù)����,為協(xié)助各政府部門、企事業(yè)單位做好數(shù)據(jù)資產(chǎn)清理和數(shù)據(jù)庫安全加固工作���。安華金和針對(duì)數(shù)據(jù)庫安全加固提供了整體解決方案��。
數(shù)據(jù)庫加固是一項(xiàng)紛繁復(fù)雜的工作���,不但需要解決數(shù)據(jù)庫存在的安全問題,更要針對(duì)每種安全問題,多種安全加固方案���,權(quán)衡利弊���,保證業(yè)務(wù)系統(tǒng)的正常和穩(wěn)定。本文分別針對(duì)數(shù)據(jù)庫漏洞��、數(shù)據(jù)庫弱口令���、數(shù)據(jù)庫身份認(rèn)證�����、數(shù)據(jù)庫網(wǎng)絡(luò)安全�����、數(shù)據(jù)庫審計(jì)和日志安全����、數(shù)據(jù)庫權(quán)限配置�、數(shù)據(jù)庫安全策略的數(shù)據(jù)后門木馬等問題,提出加固建議和方案���。
一��、數(shù)據(jù)庫漏洞加固
數(shù)據(jù)庫漏洞是數(shù)據(jù)庫安全加固的核心���,也是各種檢查也滲透測(cè)試的關(guān)鍵點(diǎn)。如何既消除數(shù)據(jù)庫漏洞����,又保證系統(tǒng)穩(wěn)定則是擺在所有人面前的難題。
1�����、數(shù)據(jù)庫版本升級(jí)加固辦法
通過數(shù)據(jù)庫漏洞掃描工具對(duì)數(shù)據(jù)庫進(jìn)行檢測(cè)后��,會(huì)通過識(shí)別數(shù)據(jù)庫組件��、版本�����、補(bǔ)丁號(hào)等關(guān)鍵信息過濾出數(shù)據(jù)庫存在的安全漏洞列表���,形成《數(shù)據(jù)庫安全檢測(cè)報(bào)告》����。報(bào)告中,針對(duì)數(shù)據(jù)庫存在的漏洞���,會(huì)提供每一個(gè)漏洞的補(bǔ)丁鏈接�。用戶可以選擇通過下載數(shù)據(jù)庫補(bǔ)丁升級(jí)�,解決存在的數(shù)據(jù)庫漏洞。但補(bǔ)丁升級(jí)的方式需要做一系列的應(yīng)用穩(wěn)定性測(cè)試��,避免數(shù)據(jù)庫升級(jí)后�,應(yīng)用出現(xiàn)不穩(wěn)定或無法使用的問題。一般一次完整的應(yīng)用穩(wěn)定性測(cè)試也需要比較長的時(shí)間�。這種比較適合在有穩(wěn)定計(jì)劃按部就班的情況下使用。
2�、第三方工具加固辦法
對(duì)于比較緊急的情況,不建議通過升級(jí)數(shù)據(jù)庫漏洞����,解決安全問題。建議采用有虛擬補(bǔ)丁功能的數(shù)據(jù)庫防火墻產(chǎn)品�����,以串聯(lián)方式部署于數(shù)據(jù)庫之前���。虛擬補(bǔ)丁會(huì)幫助數(shù)據(jù)庫阻止針對(duì)數(shù)據(jù)庫的漏洞發(fā)現(xiàn)和漏洞滲透攻擊����。杜絕攻擊者利用漏洞對(duì)數(shù)據(jù)庫發(fā)起的直接攻擊。
二��、數(shù)據(jù)庫弱口令加固辦法
1���、修改弱口令加固辦法
弱口令的加固最直接的辦法就是把弱口令修改成強(qiáng)口令。直接修改數(shù)據(jù)庫賬號(hào)的密碼并不復(fù)雜���,復(fù)雜的是衍生問題���。如果同時(shí)有多個(gè)業(yè)務(wù)系統(tǒng)使用同一數(shù)據(jù)庫賬號(hào),會(huì)要求多個(gè)業(yè)務(wù)系統(tǒng)一起修改訪問數(shù)據(jù)庫的密碼��。過程中可能會(huì)出現(xiàn)遺忘而導(dǎo)致業(yè)務(wù)中斷等問題�����。
2�����、第三方工具加固辦法
弱口令問題除了直接修改弱口令密碼外,也可以使用帶有數(shù)據(jù)庫密碼橋功能的第三方軟件解決弱密碼問題�����。密碼橋是用來做數(shù)據(jù)庫和應(yīng)用系統(tǒng)密碼映射的軟件�,串聯(lián)在應(yīng)用和數(shù)據(jù)庫之間。應(yīng)用使用密碼訪問數(shù)據(jù)庫�,密碼橋會(huì)通過改登陸包的方式把應(yīng)用的錯(cuò)誤密碼映射成數(shù)據(jù)庫的正確密碼,幫助應(yīng)用連上數(shù)據(jù)庫�。
數(shù)據(jù)庫修改密碼后,不需要調(diào)整所有應(yīng)用訪問數(shù)據(jù)庫的訪問密碼��,只需要修改中間密碼橋的映射表即可�����。使用密碼橋可以有效的降低修改弱口令帶來的潛在業(yè)務(wù)宕機(jī)風(fēng)險(xiǎn)�����。
三���、數(shù)據(jù)庫身份認(rèn)證加固辦法
1��、修改數(shù)據(jù)庫加固辦法
數(shù)據(jù)庫身份認(rèn)證的加固需要按照不同的情況進(jìn)行加固�。如果是數(shù)據(jù)庫缺乏數(shù)據(jù)庫身份認(rèn)證能力。需要通過升級(jí)到有數(shù)據(jù)庫身份認(rèn)證功能的數(shù)據(jù)庫版本�。如果只是數(shù)據(jù)庫身份驗(yàn)證功能未開啟,只需要通過調(diào)整參數(shù)開啟數(shù)據(jù)庫身份認(rèn)證功能即可�����。
2�����、第三方工具加固辦法
如果數(shù)據(jù)庫升級(jí)遇到困難�,但數(shù)據(jù)庫又缺乏身份認(rèn)證能力�����。也可以退而求其次利用數(shù)據(jù)庫防火墻的ip/mac綁定�����,鎖定允許訪問數(shù)據(jù)庫的固定機(jī)器�����,在一定程度上彌補(bǔ)了缺乏數(shù)據(jù)庫身份驗(yàn)證的問題�。
四�����、數(shù)據(jù)庫網(wǎng)絡(luò)安全加固辦法
1����、網(wǎng)絡(luò)安全加固辦法
數(shù)據(jù)庫網(wǎng)絡(luò)安全加固需要按照不同的情況進(jìn)行加固����。如果是數(shù)據(jù)庫網(wǎng)絡(luò)加密功能力。需要通過升級(jí)到有網(wǎng)絡(luò)加密功能的數(shù)據(jù)庫版本�����。如果只是數(shù)據(jù)庫網(wǎng)絡(luò)加密功能未開啟�,只需要通過調(diào)整參數(shù)開啟網(wǎng)絡(luò)加密功能即可。
但請(qǐng)注意數(shù)據(jù)庫網(wǎng)絡(luò)通訊協(xié)議加密后會(huì)導(dǎo)致很多數(shù)據(jù)庫監(jiān)控��、審計(jì)軟件無法正常工作�。
2、第三方工具加固辦法
網(wǎng)絡(luò)加密的目標(biāo)是防止中間人攻擊���。退而求其次利用數(shù)據(jù)庫防火墻的ip/mac綁定�����,鎖定允許訪問數(shù)據(jù)庫的固定機(jī)器�����,在一定程度上彌補(bǔ)了網(wǎng)絡(luò)明文引起的安全威脅�����。
五����、數(shù)據(jù)庫審計(jì)和日志安全加固辦法
1、審計(jì)日志加固辦法
數(shù)據(jù)庫審計(jì)和日志有助于幫助客戶對(duì)攻擊進(jìn)行溯源��。所以加固的主要方式是開啟審計(jì)和日志����,并設(shè)置嚴(yán)格的策略���。
2���、第三方工具加固辦法
審計(jì)日志開啟會(huì)對(duì)數(shù)據(jù)庫性能造成影響,除了開啟數(shù)據(jù)庫自身的審計(jì)和日志外。還可以通過第三方數(shù)據(jù)庫審計(jì)工具完成數(shù)據(jù)庫審計(jì)日志的安全加固任務(wù)�����。
六�、數(shù)據(jù)庫權(quán)限配置安全加固辦法
1、數(shù)據(jù)庫權(quán)限配置加固辦法
基于數(shù)據(jù)庫賬號(hào)/角色權(quán)限配置清單和客戶數(shù)據(jù)庫管理員進(jìn)行溝通���。按照最小化權(quán)限原則削減數(shù)據(jù)庫賬號(hào)的權(quán)限�。
2�、第三方工具加固辦法
由于數(shù)據(jù)庫賬號(hào)和角色之間關(guān)系錯(cuò)綜復(fù)雜,很容易越調(diào)越亂�,甚至產(chǎn)生新的權(quán)限問題。也可以通過有細(xì)粒度控制能力的數(shù)據(jù)庫防火墻產(chǎn)品��。在數(shù)據(jù)庫之外在做一層數(shù)據(jù)庫權(quán)限設(shè)置�。這樣既避免了數(shù)據(jù)庫自身權(quán)限的混亂,又解決了數(shù)據(jù)庫權(quán)限不符合最小化原則的問題�����。
七����、數(shù)據(jù)庫安全策略加固辦法
在不影響業(yè)務(wù)的前提下�����,按照安華金和多年積攢的數(shù)據(jù)庫安全策略配置����。幫助客戶完成數(shù)據(jù)庫安全策略加固����。
八、數(shù)據(jù)庫后門/木馬清理辦法
發(fā)現(xiàn)疑似數(shù)據(jù)庫后門/木馬的觸發(fā)器或存儲(chǔ)過程�����,會(huì)和客戶的DBA進(jìn)行溝通�。如果確認(rèn)確實(shí)和業(yè)務(wù)無關(guān),會(huì)進(jìn)行清理和追蹤�����。
數(shù)據(jù)庫安全加固是數(shù)據(jù)安全保障中最基礎(chǔ)的一環(huán)�����,數(shù)據(jù)以靜態(tài)存儲(chǔ)在數(shù)據(jù)庫中��,但數(shù)據(jù)使用時(shí)���,要進(jìn)入到業(yè)務(wù)系統(tǒng)�,流轉(zhuǎn)到第三方���,要被共享��、挖掘和分析���,數(shù)據(jù)的安全更多的是使用中或者流轉(zhuǎn)中的安全問題。數(shù)據(jù)庫安全設(shè)計(jì)應(yīng)圍繞生產(chǎn)實(shí)際業(yè)務(wù)應(yīng)用安全需求為基礎(chǔ)�����。防范重要數(shù)據(jù)和公民信息泄露專項(xiàng)工作建設(shè)����,除了針對(duì)數(shù)據(jù)庫進(jìn)行安全加固,還需要通過一套由內(nèi)向外的技術(shù)防范硬措施來實(shí)現(xiàn)核心資產(chǎn)數(shù)據(jù)加固工作�����。安華金和依托多年數(shù)據(jù)安全的技術(shù)積累�,提供從數(shù)據(jù)資產(chǎn)梳理���、數(shù)據(jù)庫安全檢測(cè)、數(shù)據(jù)庫安全加固的整體解決方案��,助力各政府單位和企業(yè)組織保質(zhì)保量按時(shí)做好數(shù)據(jù)資產(chǎn)清理和數(shù)據(jù)庫安全加固工作����。
產(chǎn)品咨詢:4000 258 365 
