你應該知道的10個數據庫安全最佳實踐

Flashpoint 2022年度審查報告顯示：僅在去年期間就有390億份記錄遭到泄露。這駭人聽聞的數據為人們敲響了警鐘，企業與組織急需采取有效的數據庫安全措施來抵御此類威脅。

數據庫安全實踐同網絡安全實踐有些許的不同，其包括物理步驟、軟件解決方案，甚至還有員工培訓。另外，同樣重要的是要保護組織的網站，以盡可能地減少潛在的攻擊載體，從而避免被黑客所利用。

本文將介紹10個數據庫安全最佳實踐，以期為組織在敏感數據安全性的提升方面提供一些建議指南。

1、為數據庫部署物理防護措施

無論是數據中心，還是組織自己的服務器都難免會受到物理層面的攻擊，此類攻擊可能來自于外部威脅者，甚至也有可能是組織內部員工所發起的。然而，一旦不法分子得以在物理層面上訪問到組織的數據庫，那么他們就可以對組織內部的數據實施竊取或破壞，同時也可以通過向數據庫服務器注入惡意軟件來獲得遠程訪問權限。

對于那些擁有自己服務器的組織，本文強烈建議采取一些物理安全措施（例如攝像頭、安全鎖以及專門的保安等）來保護組織的敏感數據。此外，物理服務器中的所有訪問記錄也都應該被記錄下來，并提交且只提交給專門的負責人員，從而減輕惡意活動所帶來的風險。服務器機房的物理安全標準包括：

? ISO 27001

? ISO 20000-1

? NIST SPs?(SP 800-14, SP 800-23, and SP 800-53)

? 美國國防部信息保障技術框架

? SSAE 18 SOC 1 Type II, SOC 2 Type II and SOC 3

2、對數據庫服務器進行隔離

要保護自己的數據庫免遭網絡攻擊的侵害，組織必須采取有針對性的安全措施。同時，為了降低數據庫被暴露給網絡攻擊向量的風險，組織也應盡量避免將數據庫和站點放置在同一服務器上。

對于那些將站點和敏感數據保存在同一臺服務器上的電子商務組織，他們所面臨的風險就是：任何入侵網站或在線商務平臺的攻擊，都有可能進一步訪問到他們的服務器。盡管托管服務所提供的網站安全措施以及電子商務平臺自帶的安全功能可以在一定程度上預防網絡攻擊與詐騙，但此類組織仍難以避免來自網絡或在線交易平臺等途徑的攻擊。

為了緩解此類安全風險，組織就需要將數據庫服務器同所有其他服務器分隔開來。此外，組織還可以選擇采用實時的安全信息和事件監控（ security information and event monitoring，SIEM）來降低網絡攻擊風險。SIEM是針對于數據庫的安全解決方案，旨在幫助組織在遭到攻擊的第一時間內采取行動以抵御威脅。除此之外，漏洞管理解決方案也是一項值得考慮的選擇，它可以準確有效地對網絡資產所面臨的安全風險進行評估。

3、設置HTTPS代理服務器

在訪問數據庫服務器之前，代理服務器會對來自工作站的請求進行評估。在某種程度上，該服務器充當了“守門人”的角色，旨在阻止未經授權的請求。

常見的代理服務器都是基于HTTP協議的。但如果組織所要處理的是敏感信息（如密碼、支付信息或個人信息）的話，那么就需要設置一個基于HTTPS協議的服務器。這樣，經過代理服務器的數據也會被進行加密，從而為組織增加了一層安全防護。

4、避免使用默認的網絡端口

服務器之間在傳輸數據時，會使用到TCP和UDP協議。在設置這些協議時，組織通常會自動使用默認的網絡端口。

由于對默認端口的使用比較普遍，所以這些默認端口往往會成為暴力攻擊的“常客”。組織可以通過替換掉默認端口，來使網絡攻擊者不得不嘗試不同的端口號變化，從而增加他們的工作量與攻擊時間。

需要注意的是，在分配新端口時，要提前檢查互聯網分配號碼管理局的端口注冊表，以確保新端口不會被用于其他服務。

5、使用實時的數據庫監控

主動掃描數據庫中的入侵行為，以保護組織的安全性，從而對潛在的攻擊進行響應。

為了確保數據庫的安全性，組織可以使用監控軟件，例如Tripwire的實時文件完整性監控（File Integrity Monitoring，FIM）來記錄數據庫中的所有操作，并對可能存在的漏洞進行預警提示。此外，在面臨潛在攻擊時，組織還可以設置升級協議，以保護敏感數據的安全性。

除此之外，還需要定期對數據庫進行安全審計，以及針對組織網絡安全的滲透測試。這些措施可以幫助組織發現潛在的安全漏洞，并在它們被利用之前對其進行修復，從而進一步確保數據庫的安全性。

6、使用數據庫和web應用程序防火墻

防火墻是抵御惡意訪問嘗試的第一層防御措施。除了保護自己的站點之外，組織還需安裝防火墻來保護數據庫免受來自不同載體的攻擊。

以下是三種常見的防火墻類型：

? 數據包過濾器防火墻

? 狀態數據包檢查（SPI）

? 代理服務器防火墻

組織可以通過配置防火墻來有效覆蓋所有的安全漏洞。但為了確保網站和數據庫免受新型攻擊的侵害，對防火墻的實時更新也是同等重要的。

7、部署數據加密協議

數據加密不僅在商業機密的保護方面十分重要，同時也在用戶敏感數據的傳輸與保存、防范勒索軟件以及遵守GDPR等數據隱私法方面發揮著重要作用。

設置數據加密協議可以降低數據泄露的風險。即使惡意分子竊取了組織的數據，但由于該數據處于加密狀態，所以其仍是安全的。同時這也意味著組織的數據不僅在靜態狀態下是安全的，并且在動態的傳輸過程中也能保持其安全性。

8、創建數據庫的定期備份

創建網站備份是一項常見的操作，但是更重要的是要定期為數據庫創建備份，并對備份副本進行加密。這樣可以降低因惡意攻擊或數據損壞而導致敏感數據丟失的風險。建議使用“321”備份規則：

? 存儲三個數據副本；

? 使用兩種類型的存儲器；

? 在系統外部存儲一個副本。

為了確保備份的完整性以及員工具備足夠的專業知識和經驗，應對關鍵任務基礎設施的備份進行定期測試，以便能夠及時完成備份恢復工作.”

9、保持應用程序的實時更新

研究表明，88%的代碼庫中都含有過時的組件。這些過時組件可能存在著漏洞，從而被惡意軟件所利用來幫助黑客對組織網絡的其他領域進行非法訪問。總之，當組織使用軟件來管理自己的數據庫或網站時，一些嚴重的安全風險也會隨之而來。

對于組織來說，只有那些受信任且通過驗證的數據庫管理軟件才值得被使用，同時，組織還需要保持該軟件的實時更新，及時安裝新的補丁程序。對于小部件、插件以及第三方應用程序也是如此。如果這些軟件無法及時提供補丁，那么組織就應盡可能地避免對其的使用。

10、使用強用戶身份驗證

根據Verizon 2022年的數據泄露調查報告，去年間67%的數據泄露事件都是由證書泄露所造成的。如今，單一的身份驗證方式已不再安全，甚至有人認為密碼是無用的。因此，即使是社交媒體網站，至少也應采用雙因素認證（2FA）。至于多因素認證（MFA），目前已經被廣泛接受為安全用戶認證的標準。同時，它還在網絡保險資格獲取方面發揮著關鍵作用。

如今，網絡不法分子可以通過繞開MFA檢查點來對云資源進行非法訪問。形勢在發生變化，可能很快就會出現一個無密碼的未來。

為了進一步降低潛在的數據泄露風險，組織應確保只有通過驗證的IP地址才能訪問其數據庫。雖然IP地址可以被復制或屏蔽，但攻擊者卻需要付出額外的努力才能繞過這種安全措施。這可以在一定程度上增加攻擊的難度。

增強數據庫的安全性，以降低數據泄露的風險

使用行業標準的最佳實踐來保護數據庫可以為組織的零信任方案提供更多的深度防御層。隨著入侵事件的不斷增加，威脅者入侵到組織網絡的可能性也越來越大。為了提高系統的恢復能力，組織應提前做好備份和加密數據的準備。

數世點評

數據庫的安全性是一個綜合性且系統性的問題，所以涉及的最佳實踐也是多層面和大范圍的。隨著數據庫技術應用范圍的不斷擴大，數據庫安全措施必須走立體式的發展道路。這意味著我們需要全方位地思考和掌握數據庫安全性的最佳實踐，同時還需要不斷學習和掌握最新的安全技術和解決方案。未來，數據庫安全趨勢將更加智能化、自動化、云化、網絡化，諸如數據分類存儲、智能加密、云原生安全等技術都將得到廣泛應用。另外，數據庫安全性的實現不僅僅取決于技術手段的應用，同時也需要法規、管理以及社會因素的共同作用。