淺談數據安全防護措施

余長江 雷武龍 王紅艷

【摘要】隨著信息技術的發展和廣泛應用，經濟、政治、科技等各方面的電子信息化程度越來越高，越來越多的關鍵業務系統運行在數據庫平臺上。隨著高級網絡攻擊日益猖獗，由于員工使用便攜式存儲設備而帶來的數據竊取和數據意外泄露情況屢見不鮮，信息泄露事件頻繁發生，企業、個人數據安全遭遇了較為嚴重的安全威脅。數據一旦泄露或丟失，就可能造成重大損失，甚至造成一定的社會影響。因此，人們對數據安全的關注程度越來越高，對數據安全防護措施的研究探索也越來越重視。

【關鍵詞】數據庫;安全防護;黑客;網絡通道

一、做好數據庫系統用戶認證

口令認證方式是鑒別數據庫系統用戶身份最基本的方式。嚴格的賬號和密碼管理機制是實現數據庫系統安全的首要問題。

一是合理規劃用戶賬號。在新的數據庫系統安裝時，通常會要求安裝若干默認賬號，而這些賬號、密碼以及權限都是公開的，恰恰為攻擊者提供了目標和機會。不再使用或不再需要的賬號，也會增加安全風險。因此，為確保賬號的安全，應避免因安裝或刪除不需要的賬號而帶來不必要的危險。

二是強化密碼安全防護意識。一個隨意選擇又長期未變更的密碼對于數據庫系統來說，是致命隱患。由于新信息技術的發展，一般性密碼設置方式設置的密碼，很容易被破解。因此，在制定數據庫系統密碼規范時，應該盡可能增加其復雜性和科學性，包括密碼生存周期、寬限時間、密碼重復使用（最大）時間、登錄失效、賬號鎖定和密碼驗證功能。

二、嚴格數據庫系統的訪問控制

訪問控制是允許或禁止訪問資源的過程。基于角色的訪問控制是一種數據庫權限管理機制，它根據不同的職能崗位劃分角色，資源訪問權限被封裝在角色中，而用戶被賦予角色，通過角色來間接訪問資源。在給角色或用戶授權時，必須遵循最小權限和特權分離的基本安全原則。

一是最小權限原則。只需授予列級權限的不授予表級權限，只需授予表級權限的不授予庫級權限，只需授予對象權限的不授予系統權限。此外，在確定不需要使用某種權限時要及時收回角色和權限。最小權限原則有效地限制、分割了用戶對數據資源進行訪問時的權限，降低了非法用戶或非法操作可能給系統及數據帶來的損失。

二是特權分離原則。利用角色間約束能力實現權力之間的制約，即數據庫管理員、系統安全員和系統審計員三個角色是互斥的，一個用戶最多擁有這三個角色之一。特權分離原則有利于保證權力之間的制衡和監督，能減少未經授權訪問和欺詐行為發生的概率。

三、加密重要數據

數據加密是保證數據庫系統中數據保密性和完整性的有效手段。數據庫系統的加密措施是指對數據庫系統中的重要數據進行加密處理，確保只有當系統的合法用戶訪問有權限的數據時，系統才把相應的數據進行解密操作。否則，數據庫系統應當保持重要數據的加密狀態，以防止非法用戶利用竊取到的明文信息對系統進行攻擊。

四、做好數據容災備份與故障恢復

備份與恢復是實現數據庫系統安全運行，確保數據庫系統因各種原因發生系統故障時，能盡快投入再使用的重要保證。按照數據庫系統所遭受破壞程度的不同，備份與恢復措施可分為災難性備份和非災難性備份。災難性備份措施是通過設置主數據庫系統的遠程異地備份，以備數據庫系統遭受突發陛、災難性事故時啟用。非災難性備份措施是采用數據庫標準備份、專用備份設備等方式進行全系統備份、差異備份和增量備份，以確保在數據庫系統無法正常工作時，利用已有的數據備份能盡快有效地把數據庫還原到事發前的狀態，同時保持數據的完整性和一致性。

五、保護數據訪問網絡通道

防病毒軟件和防火墻雖然提供了一定級別的安全防護，但并不能因此認為網絡通信就是安全的。數據庫監聽程序作為連接數據庫服務端的網絡進程，正經受著巨大的攻擊風險。首要的任務是對監聽過程進行密碼保護，而改變默認端口也是確保數據庫監聽器安全的一種好辦法。通過配置數據庫監聽，可以使其允許或不允許客戶IP地址的訪問。這也是保護數據庫不受非預期用戶訪問的簡單而有效的方法。

六、做好終端防護加密

大量數據往往會在終端使用，防火墻和網關中的簡單模式數據泄露防護（DLP）控制并不能對其進行有效的保護。DLP終端則可以保護在線和離線網絡設備，以控制復制、打印或傳送的數據（包括傳送到便攜式媒體驅動器上的數據）。當數據必須離開網絡或終端時，用戶可以通過實施加密措施來加強對信息的控制。

七、提防惡意軟件和黑客攻擊

由于互聯網技術的快速發展，惡意軟件和黑客攻擊活動也日益增多，殺毒軟件、防火墻、URL過濾等傳統防御措施正在日漸失效。終端用戶的安全意識應該越來越強，企業應積極開展網絡釣魚測試，并且選擇相關人員進行訓練，使他們可以了解如何檢測網絡釣魚企圖。電子郵件防御系統也應該能夠提供沙盒，在用戶點擊鏈接時實時分析URL。

本文從數據庫系統的身份驗證、訪問控制、數據加密以及數據備份與恢復、終端防護加密、提防惡意軟件和黑客攻擊等方面提出了具體的安全保護措施，這些措施在實際運用中還應該根據具體應用環境的安全需要，緊密結合網絡安全、操作系統安全進行分析，并制定統一的安全管理策略。雖然我們防護的是數據庫系統、終端、網絡等，但是防護的主題依然是那些網絡中的價值數據。保護數據源仍是我們最需要關注的，而不管環境和防護策略如何變化，貼近數據核心的防護總是最有效的。出于這種考慮，個人、企業甚至國家采用靈活且具有針對性的加密軟件進行數據安全防護就是最好的選擇。