隨筆檔案

　　對于數(shù)據(jù)庫安全來說，通常我們認(rèn)為缺乏的并非技術(shù)手段，更多的是缺乏規(guī)范和安全認(rèn)知，如果用戶都能夠嚴(yán)格的遵循安全守則并應(yīng)用現(xiàn)有的安全技術(shù)手段，數(shù)據(jù)庫的安全性就能夠大幅增強(qiáng)，我們的安全事故發(fā)生率也會(huì)大大降低。下面我們對數(shù)據(jù)安全的五大方面做一下簡要的分析和探討：(本文為天下數(shù)據(jù)首發(fā)，天下數(shù)據(jù)專業(yè)提供主機(jī)托管、主機(jī)租用)

　　方面一、訪問安全

　　指用戶數(shù)據(jù)庫的訪問來源和訪問方式是否安全可控。通常數(shù)據(jù)庫系統(tǒng)處于IT系統(tǒng)的核心，其安全架構(gòu)涉及主機(jī)、系統(tǒng)、存儲(chǔ)、網(wǎng)絡(luò)等諸多方面，如果沒有明確的訪問控制，缺乏足夠的訪問分析與管理，那么數(shù)據(jù)庫的安全將是混亂和無法控制的，最基本的訪問安全要實(shí)現(xiàn)程序控制、網(wǎng)絡(luò)隔離、來源約束等。

　　方面二、備份安全

　　指用戶數(shù)據(jù)能否得到及時(shí)有效的備份保全，能否在故障災(zāi)難之后獲得及時(shí)的恢復(fù)和挽救。很多企業(yè)在數(shù)據(jù)災(zāi)難之后因?yàn)槿狈τ行浞荻货瓴徽瘢鶕?jù)Gartner2009年的一份調(diào)查報(bào)告顯示,在經(jīng)歷了數(shù)據(jù)完全丟失而導(dǎo)致系統(tǒng)停運(yùn)的企業(yè)中，有2/5再也沒能恢復(fù)運(yùn)營，余下的企業(yè)也有1/3在兩年內(nèi)宣告破產(chǎn),由此可見，由于備份安全問題導(dǎo)致的企業(yè)傷害可能遠(yuǎn)遠(yuǎn)大于黑客攻擊。

　　方面三、安全防范

　　指通過主動(dòng)的安全手段對數(shù)據(jù)庫安全進(jìn)行增強(qiáng)、監(jiān)控、防護(hù)、屏蔽或阻斷，諸如數(shù)據(jù)加密、審計(jì)、數(shù)據(jù)防火墻等技術(shù)都在這一范疇之內(nèi)。我們必須認(rèn)識(shí)到，在IT技術(shù)高度發(fā)展的今天，風(fēng)險(xiǎn)是無處不在、層出不窮的，可能我們從未思考過的安全問題，每天都在不斷涌現(xiàn)，所以在數(shù)據(jù)庫環(huán)境中采取主動(dòng)式防護(hù)，可以幫助我們監(jiān)控分析和屏蔽很多未知風(fēng)險(xiǎn)，已經(jīng)有很多成熟的產(chǎn)品和技術(shù)可以用于安全防范。

　　方面四、管理安全

　　指在企業(yè)數(shù)據(jù)的日常管理維護(hù)范疇內(nèi)，能否充分保證數(shù)據(jù)安全。諸如DBA的維護(hù)、文件的管理、參數(shù)或數(shù)據(jù)結(jié)構(gòu)的變更等等都可能引入數(shù)據(jù)風(fēng)險(xiǎn)，管理安全要求我們通過規(guī)范、制度以及技術(shù)手段去確保維護(hù)管理安全。2011年陜西移動(dòng)曾經(jīng)發(fā)生過近1400萬手機(jī)用戶數(shù)據(jù)泄露的安全事故，最終查明就是因?yàn)榫S護(hù)人員的數(shù)據(jù)竊取導(dǎo)致的數(shù)據(jù)泄露，而除此之外，很多維護(hù)性誤刪除、誤更新等故障也威脅過無數(shù)用戶的數(shù)據(jù)安全。

　　方面五、軟件安全

　　指我們選擇的數(shù)據(jù)庫產(chǎn)品、版本是否穩(wěn)定安全;廠商所能提供的補(bǔ)丁集和BUG修正是否及時(shí)。很多用戶在部署數(shù)據(jù)庫軟件時(shí)，僅僅選擇了最容易獲得的初始版本發(fā)布(如OracleDatabase10.2.0.1或者OracleDatabase11.2.0.1等)，遺漏了可能已經(jīng)存在的補(bǔ)丁修正，并且在運(yùn)行維護(hù)中并不能夠及時(shí)跟蹤軟件更新，也無法獲得BUG信息、補(bǔ)丁修正和安全告警，這就使得軟件本身的很多風(fēng)險(xiǎn)隱患得不到修正。如果軟件安全無法保證，數(shù)據(jù)庫安全的基礎(chǔ)也就喪失了。