數據庫安全包括用于保護數據庫管理系統免受惡意網絡攻擊和非法使用的各種措施。數據庫安全程序旨在不僅保護數據庫中的數據，而且保護數據管理系統本身以及訪問它的每個應用程序免受濫用、損壞和入侵。數據庫安全包括在數據庫環境中建立安全性的工具、流程和方法。

數據庫安全威脅

許多軟件漏洞、錯誤配置或誤用或粗心模式都可能導致違規。以下是一些最知名的數據庫安全網絡威脅的原因和類型。

內部威脅

內部威脅是來自以下三個來源之一的安全風險，每個來源都具有訪問數據庫的特權方法：

• 懷有惡意的內幕人士
• 組織內的疏忽大意的人，通過粗心的行動將數據庫暴露在攻擊之下
• 通過社會工程或其他方法獲得憑證，或獲得數據庫憑證訪問權限的局外人

內部威脅是數據庫安全漏洞的最典型原因之一，它經常發生，因為許多員工已被授予特權用戶訪問權限。

人為錯誤

弱密碼、密碼共享、意外刪除或損壞數據以及其他不良用戶行為仍然是報告的近一半數據泄露事件的原因。

數據庫軟件漏洞利用

攻擊者不斷嘗試隔離和定位軟件中的漏洞，而數據庫管理軟件是一個非常有價值的目標。每天都有新的漏洞被發現，所有開源數據庫管理平臺和商業數據庫軟件廠商都會定期發布安全補丁。但是，如果您不快速使用這些補丁，您的數據庫可能會受到攻擊。即使您確實按時應用補丁，也總是存在零日攻擊的風險，即攻擊者發現漏洞，但尚未被數據庫供應商發現和修補。

SQL/NoSQL 注入攻擊

特定于數據庫的威脅涉及在數據庫查詢中使用任意非 SQL 和 SQL 攻擊字符串。通常，這些查詢是作為 Web 應用程序表單的擴展而創建的，或者是通過 HTTP 請求接收的。如果開發人員不遵守安全編碼實踐，并且組織不進行定期漏洞測試，任何數據庫系統都容易受到這些攻擊。

緩沖區溢出攻擊

當進程試圖將大量數據寫入固定長度的內存塊時，會發生緩沖區溢出，超過了允許的容量。攻擊者可能會使用保存在相鄰內存地址中的多余數據作為發起攻擊的起點。

拒絕服務 (DoS/DDoS) 攻擊

在拒絕服務 (DoS) 攻擊中，網絡犯罪分子使用大量虛假請求壓倒目標服務（在本例中為數據庫服務器）。結果是服務器無法執行來自實際用戶的真實請求，并且經常崩潰或變得不穩定。

在分布式拒絕服務攻擊(DDoS) 中，大量計算機生成虛假流量，參與攻擊者控制的僵尸網絡。這會產生非常大的流量，如果沒有高度可擴展的防御架構，就很難停止。基于云的DDoS 保護服務可以動態擴展以應對非常大的DDoS 攻擊。

惡意軟件

惡意軟件是為利用漏洞或對數據庫造成損害而編寫的軟件。惡意軟件可以通過連接到數據庫網絡的任何端點設備到達。惡意軟件保護在任何端點上都很重要，尤其是在數據庫服務器上，因為它們具有很高的價值和敏感性。

不斷發展的 IT 環境

不斷發展的 IT 環境使數據庫更容易受到威脅。以下趨勢可能導致對數據庫的新型攻擊，或者可能需要新的防御措施：

• 不斷增長的數據量——幾乎所有組織的存儲、數據捕獲和處理都呈指數級增長。任何數據安全實踐或工具都必須具有高度可擴展性，才能滿足遙遠和近期的需求。
• 分布式基礎架構——網絡環境越來越復雜，尤其是當企業將工作負載轉移到混合云或多云架構時，這使得安全解決方案的部署、管理和選擇變得更加困難。
• 越來越嚴格的監管要求——全球監管合規環境變得越來越復雜，因此遵守所有規定變得更具挑戰性。
• 網絡安全技能短缺——全球缺乏熟練的網絡安全專業人員，組織發現很難填補安全角色。這會使保護包括數據庫在內的關鍵基礎設施變得更加困難。

如何保護您的數據庫服務器？

數據庫服務器是運行數據庫的物理機或虛擬機。保護數據庫服務器，也稱為“加固”，是一個包括物理安全、網絡安全和安全操作系統配置的過程。

確保物理數據庫安全

如果您的數據庫包含敏感數據，請避免為 Web 應用程序和數據庫應用程序共享服務器。盡管將您的網站和數據庫一起托管在托管服務提供商上可能更便宜、更容易，但您將數據的安全性交給了其他人。如果您確實依賴網絡托管服務來管理您的數據庫，您應該確保它是一家擁有強大安全記錄的公司。由于可能缺乏安全性，最好不要使用免費托管服務。

如果您在本地數據中心管理數據庫，請記住，您的數據中心也容易受到來自外部或內部威脅的攻擊。確保您有物理安全措施，包括您的物理設施中的鎖、攝像頭和安全人員。對物理服務器的任何訪問都必須記錄下來，并且只授予經過授權的個人。此外，不要將數據庫備份留在可公開訪問的位置，例如臨時分區、Web 文件夾或不安全的云存儲桶。

鎖定帳戶和權限

讓我們考慮 Oracle 數據庫服務器。安裝數據庫后，Oracle 數據庫配置助手 (DBCA) 會自動過期并鎖定大部分默認數據庫用戶帳戶。如果您手動安裝 Oracle 數據庫，則不會發生這種情況，并且默認特權帳戶不會過期或鎖定。默認情況下，他們的密碼與用戶名相同。攻擊者將首先嘗試使用這些憑據連接到數據庫。確保為數據庫服務器上的每個特權帳戶配置一個強而唯一的密碼至關重要。如果不需要帳戶，則應將其過期并鎖定。對于其余帳戶，必須將訪問權限限制在所需的絕對最小值。每個帳戶只能訪問用戶所需的表和操作（例如，SELECT 或 INSERT）。避免創建可以訪問數據庫中每個表的用戶帳戶。

定期修補數據庫服務器

確保補丁保持最新。有效的數據庫補丁管理是一項至關重要的安全實踐，因為攻擊者正在積極尋找數據庫中的新安全漏洞，并且每天都會出現新的病毒和惡意軟件。及時部署最新版本的數據庫服務包、關鍵安全修補程序和累積更新將提高數據庫性能的穩定性。

禁用公共網絡訪問

組織將其應用程序存儲在數據庫中。在大多數實際場景中，最終用戶不需要直接訪問數據庫。因此，除非您是托管服務提供商，否則您應該阻止對數據庫服務器的所有公共網絡訪問。理想情況下，組織應該為遠程管理員設置網關服務器（VPN 或 SSH 隧道）。

加密所有文件和備份

不管你的防御有多堅固，黑客總是有可能滲透到你的系統中。然而，攻擊者并不是對數據庫安全的唯一威脅。您的員工也可能對您的業務構成風險。惡意或粗心的內部人員總是有可能訪問他們無權訪問的文件。加密您的數據會使攻擊者和員工都無法讀取它。如果沒有加密密鑰，他們就無法訪問它，這為不受歡迎的入侵提供了最后一道防線。加密所有重要的應用程序文件、數據文件和備份，使未經授權的用戶無法讀取您的關鍵數據。

數據庫安全最佳實踐

您可以使用以下幾個最佳實踐來提高敏感數據庫的安全性。

主動管理密碼和用戶訪問

如果您有一個大型組織，您必須考慮通過密碼管理或訪問管理軟件自動化訪問管理。這將為允許的用戶提供一個短期密碼，該密碼具有他們每次需要訪問數據庫時所需的權限。它還跟蹤在該時間范圍內完成的活動，并阻止管理員共享密碼。雖然管理員可能覺得共享密碼很方便，但是這樣做幾乎不可能實現有效的數據庫責任和安全性。此外，建議采取以下安全措施：

• 必須強制使用強密碼
• 密碼哈希必須加鹽并加密存儲
• 多次登錄嘗試后必須鎖定帳戶
• 如果員工轉移到不同的角色、離開公司或不再需要相同級別的訪問權限，則必須定期審查和停用帳戶

測試您的數據庫安全性

一旦建立了數據庫安全基礎設施，就必須針對真正的威脅對其進行測試。對您自己的數據庫進行審計或執行滲透測試將幫助您進入網絡犯罪分子的思維模式并隔離您可能忽略的任何漏洞。為確保測試全面，請讓道德黑客或公認的滲透測試服務參與您的安全測試。滲透測試人員提供列出數據庫漏洞的大量報告，快速調查和修復這些漏洞非常重要。每年至少在關鍵數據庫系統上運行一次滲透測試。

使用實時數據庫監控

持續掃描您的數據庫以查找違規企圖可提高您的安全性，并讓您對可能的攻擊做出快速反應。特別是，文件完整性監控(FIM) 可以幫助您記錄在數據庫服務器上執行的所有操作，并提醒您潛在的違規行為。當 FIM 檢測到重要數據庫文件發生更改時，請確保安全團隊收到警報并能夠調查和響應威脅。

使用 Web 應用程序和數據庫防火墻

您應該使用防火墻來保護您的數據庫服務器免受數據庫安全威脅。默認情況下，防火墻不允許訪問流量。它還需要阻止您的數據庫啟動出站連接，除非有特殊原因這樣做。除了使用防火墻保護數據庫外，您還必須部署Web 應用程序防火墻(WAF)。這是因為針對 Web 應用程序的攻擊（包括SQL 注入）可用于非法訪問您的數據庫。數據庫防火墻不會阻止大多數 Web 應用程序攻擊，因為傳統防火墻運行在網絡層，而 Web 應用程序層運行在應用程序層（OSI 模型的第 7 層）。WAF 在第 7 層運行，能夠檢測惡意 Web 應用程序流量，例如 SQL 注入攻擊，并在它損害您的數據庫之前將其阻止。