網(wǎng)絡(luò)數(shù)據(jù)庫的安全問題及對策

文/趙志剛

近期數(shù)據(jù)安全事件不斷涌現(xiàn)，美國證券交易委員會（SEC）正式發(fā)布公告承認，黑客曾成功入侵其存儲上市企業(yè)備案文件的網(wǎng)絡(luò)系統(tǒng)，導(dǎo)致數(shù)據(jù)庫內(nèi)敏感信息或已被用于非法的內(nèi)幕交易；美國三大征信機構(gòu)之一的Equifax數(shù)據(jù)庫也遭受網(wǎng)絡(luò)攻擊，致使約1.43億美國人的個人信息被泄露，這些網(wǎng)絡(luò)數(shù)據(jù)安全事故為企業(yè)的網(wǎng)絡(luò)安全敲響了警鐘

1 網(wǎng)絡(luò)數(shù)據(jù)庫存在的安全問題

網(wǎng)絡(luò)數(shù)據(jù)庫存在的安全問題主要體現(xiàn)在以下三個方面：

1.1 黑客盜取身份認證

騰訊、微軟等企業(yè)都曾經(jīng)被黑客攻擊企業(yè)系統(tǒng)，導(dǎo)致客戶信息被盜取，客戶安全受到了極大的威脅。

1.2 安全系統(tǒng)模型的不完善

網(wǎng)絡(luò)數(shù)據(jù)庫的安全系統(tǒng)構(gòu)建是在完善的數(shù)據(jù)庫模型的基礎(chǔ)上的，然而，目前網(wǎng)絡(luò)數(shù)據(jù)庫的安全模型并不十分的完善。

1.3 數(shù)據(jù)庫存在安全漏洞

網(wǎng)絡(luò)黑客根據(jù)系統(tǒng)的安全漏洞進行網(wǎng)絡(luò)攻擊，以達到竊取數(shù)據(jù)庫的目的。許多網(wǎng)絡(luò)數(shù)據(jù)庫是在斷網(wǎng)的條件下運行的，但是，斷網(wǎng)也不能完全抵抗黑客的攻擊。與此同時，斷網(wǎng)修補安全漏洞的時間較長，造成了企業(yè)一定的經(jīng)濟損失。

2 網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)的實現(xiàn)

2.1 身份認證的安全技術(shù)

身份認證是保證網(wǎng)絡(luò)數(shù)據(jù)庫安全的重要手段，目前已經(jīng)大量應(yīng)用于網(wǎng)上銀行、電子商務(wù)等互聯(lián)網(wǎng)交易中。如果用戶擁有某電子認證服務(wù)機構(gòu)（CA）頒發(fā)的數(shù)字證書并能夠使用其電子簽名，則可以利用已有的數(shù)字證書進行互聯(lián)網(wǎng)的身份認證，這種方式無論從使用成本還是身份認證的可靠性上都是最好的選擇。互聯(lián)網(wǎng)相關(guān)服務(wù)商通過電子認證服務(wù)機構(gòu)驗證數(shù)字證書的真實性，并獲取用戶的身份認證信息，即可識別真實身份，安全可靠，簡單易行。

云脈立足于身份認證技術(shù)的前沿推出“身份認證”以實名認證系統(tǒng)為核心，包含了：身份證識別、身份認證、人證對比等實名認證功能，為各行各業(yè)提供實名認證接口，實現(xiàn)更便捷、更精準(zhǔn)更安全的實名認證服務(wù)。該方案的技術(shù)核心為三類智能：生物智能、設(shè)備智能和行為智能。利用OCR身份證識別技術(shù)和人臉識別對用戶身份信息進行快速采集并聯(lián)網(wǎng)驗證，再通過人臉識別進行活體檢測并留取現(xiàn)場人臉照片和人像做對比，通過權(quán)威數(shù)據(jù)接口驗證身份的合法性，使用多重方式來確保人證一致。

2.2 安全系統(tǒng)模型的建立

網(wǎng)絡(luò)數(shù)據(jù)庫安全系統(tǒng)模型的建立可以從以下幾方面入手：

2.2.1 使用數(shù)據(jù)庫代理

數(shù)據(jù)庫代理或網(wǎng)關(guān)代理介于應(yīng)用程序和數(shù)據(jù)庫之間，接收來自應(yīng)用程序的鏈接，然后代表這些應(yīng)用程序連接到數(shù)據(jù)庫。智能數(shù)據(jù)庫代理提供最大范圍的過濾，其模塊提供安全、可靠、可擴展性和性能優(yōu)勢；

2.2.2 建立審計和日志

審計和日志記錄相互關(guān)聯(lián)，但是審計日志比一般日志復(fù)雜得多。審計日志給你所有的信息，你需要調(diào)查可疑活動，并進行根本原因分析，并且可以看到誰在給定的時間內(nèi)進行了訪問，以及誰插入或刪除了數(shù)據(jù)；

2.2.3 實行用戶賬戶管理

仔細管理數(shù)據(jù)庫用戶帳戶是非常必要的。其中，用戶帳戶管理的幾個關(guān)鍵方面：只允許本地客戶端訪問root權(quán)限、始終使用密碼、為每個應(yīng)用程序都有一個獨立的數(shù)據(jù)庫用戶帳戶、限制訪問數(shù)據(jù)庫服務(wù)器的IP地址的數(shù)量；

2.2.4 對應(yīng)用程序中的敏感數(shù)據(jù)進行加密操作

許多企業(yè)忽視加密文件，但它可以是相當(dāng)有價值的，可以減少黑客的動機。

為有效貫徹《網(wǎng)絡(luò)安全法》，幫助政府行業(yè)防御勒索病毒，保護數(shù)據(jù)安全，12月17日，“數(shù)據(jù)庫與終端數(shù)據(jù)安全研討會”在北京召開。會議中，推出最新研發(fā)的DCAP產(chǎn)品“數(shù)據(jù)庫防水壩、數(shù)據(jù)庫防火墻和數(shù)據(jù)脫敏系統(tǒng)”。數(shù)據(jù)庫防水壩圍繞核心敏感數(shù)據(jù)具備防撞庫攻擊、敏感數(shù)據(jù)訪問控制、特權(quán)用戶權(quán)限控制、危險操作防范與恢復(fù)，及運維操作審計和分析等功能；數(shù)據(jù)庫防火墻對SQL注入、DDOS攻擊、漏洞攻擊、拖庫和撞庫等外部攻擊威脅進行檢測和防御；數(shù)據(jù)脫敏系統(tǒng)為開發(fā)測試培訓(xùn)環(huán)境、數(shù)據(jù)交易、數(shù)據(jù)交換、數(shù)據(jù)分析等數(shù)據(jù)應(yīng)用場景提供脫敏后的業(yè)務(wù)數(shù)據(jù)。

2.3 數(shù)據(jù)庫安全漏洞的修復(fù)

數(shù)據(jù)庫的安全漏洞往往給黑客提供可乘之機，是黑客進行網(wǎng)絡(luò)攻擊的重要途徑。企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)庫往往出現(xiàn)離線服務(wù)器數(shù)據(jù)泄露的問題，公司數(shù)據(jù)庫可能會托管在不接入互聯(lián)網(wǎng)的服務(wù)器上，但這并不意味著對基于互聯(lián)網(wǎng)的威脅完全免疫，無論有沒有互聯(lián)網(wǎng)連接，數(shù)據(jù)庫都有可供黑客切入的網(wǎng)絡(luò)接口。為了解決這一問題，應(yīng)該將數(shù)據(jù)庫服務(wù)器當(dāng)成聯(lián)網(wǎng)服務(wù)器一樣看待，做好相應(yīng)的安全防護。

11月20日，甲骨文在舊金山召開了年度用戶大會，公司聯(lián)合創(chuàng)始人兼執(zhí)行董事長拉里-埃里森（Larry Ellison）在大會上發(fā)布了一套面向網(wǎng)絡(luò)安全的新產(chǎn)品，該產(chǎn)品可以在不離線的情況下自行修復(fù)網(wǎng)絡(luò)安全漏洞。這款自動化數(shù)據(jù)庫名為Oracle 18c，可以在運行過程中自行修復(fù)安全漏洞。目前的數(shù)據(jù)庫必須停機下線才能修復(fù)網(wǎng)絡(luò)安全漏洞，相比之下，新數(shù)據(jù)庫顯然要先進一些，Oracle 18c并不能避免此類安全事故，但是必須將網(wǎng)絡(luò)防護自動化程度提高，必須能夠在不讓電腦系統(tǒng)離線或關(guān)閉數(shù)據(jù)庫的情況下進行自我保護以及漏洞修復(fù)。

3 結(jié)束語

綜上所述，通過身份認證的安全技術(shù)、安全系統(tǒng)模型的建立、數(shù)據(jù)庫安全漏洞的修復(fù)三個方面網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)的實現(xiàn)，可以有效的保證網(wǎng)絡(luò)數(shù)據(jù)庫的安全性。數(shù)據(jù)庫的泄露會給企業(yè)和個人帶來嚴(yán)重的安全隱患以及巨大的經(jīng)濟損失，隨著網(wǎng)絡(luò)數(shù)據(jù)庫應(yīng)用的逐漸廣泛，其安全技術(shù)也會隨之升級。

參考文獻

[1]本刊訊.高校數(shù)據(jù)庫安全一鍵交付賽爾網(wǎng)絡(luò)與安華金和簽署戰(zhàn)略合作協(xié)議[J].中國教育網(wǎng)絡(luò),2017(09):57.

[2]刁慧婷.計算機網(wǎng)絡(luò)數(shù)據(jù)庫的安全管理技術(shù)[J].通信電源技術(shù),2017,34(01):145-146.