從最近三個(gè)月安華金和分享的數(shù)據(jù)泄密高危漏洞來(lái)看，10月份154個(gè)數(shù)據(jù)泄密高危漏洞，9月份和8月份分別134個(gè)和102個(gè)。其中絕大多數(shù)泄露威脅來(lái)自于平臺(tái)系統(tǒng)漏洞和SQL注入漏洞。安華金和的報(bào)告得出一個(gè)結(jié)論：攻擊是以數(shù)據(jù)為目標(biāo)。

“這是最好的時(shí)代，這是最壞的時(shí)代；這是智慧的時(shí)代，這是愚蠢的時(shí)代”狄更斯的這句名句用在當(dāng)下，也并未為過(guò)。云計(jì)算飛速發(fā)展的今天，給人類生活帶來(lái)巨大便利的同時(shí)，安全問(wèn)題，緊隨其后，一場(chǎng)針對(duì)核心數(shù)據(jù)防御的持久戰(zhàn)，此起彼伏。其中，無(wú)法逃避、備受關(guān)注的核心數(shù)據(jù)藏于數(shù)據(jù)庫(kù)中。因此，安華金和提出，運(yùn)維2.0時(shí)代，數(shù)據(jù)庫(kù)亟需安全運(yùn)維。

安華金和高級(jí)安全顧問(wèn) 譚俊楠

重點(diǎn)：核心數(shù)據(jù)的安全運(yùn)維

云計(jì)算的發(fā)展，用戶對(duì)云的接受度越來(lái)越高，特別是中小型企業(yè)，其業(yè)務(wù)越來(lái)越多向云端遷移，由此帶來(lái)數(shù)據(jù)存量的爆炸性增長(zhǎng)，用戶對(duì)核心數(shù)據(jù)的安全性要求提高。面對(duì)云端大流量、高并發(fā)、高相應(yīng)的業(yè)務(wù)需求，運(yùn)維人員的運(yùn)維重點(diǎn)和運(yùn)維能力提出更高挑戰(zhàn)：對(duì)于DBA而言，隨著基礎(chǔ)運(yùn)維和應(yīng)用運(yùn)維需要的人工量在減少，安全運(yùn)維意識(shí)和響應(yīng)能力需要提高，那么核心數(shù)據(jù)的安全運(yùn)維成為關(guān)注重點(diǎn)。

對(duì)于用戶而言，用戶需要確認(rèn)數(shù)據(jù)在云上是安全的，云環(huán)境的維護(hù)者無(wú)法看到這些數(shù)據(jù)，即使進(jìn)入數(shù)據(jù)庫(kù)也無(wú)法看到敏感的真實(shí)數(shù)據(jù)，存儲(chǔ)核心數(shù)據(jù)的應(yīng)用系統(tǒng)的秘鑰需要掌握在用戶手里。這樣才能讓用戶心里更踏實(shí)。

以P2P金融為例，截止2014年11月，已有近165家P2P平臺(tái)由于黑客攻擊造成系統(tǒng)癱瘓、數(shù)據(jù)被惡意篡改、資金被洗劫等情況。

平安董事局主席馬明哲曾對(duì)此表示“P2P網(wǎng)貸平臺(tái)的技術(shù)要求不亞于銀行，甚至比銀行還要高。但現(xiàn)實(shí)情況是，大多數(shù)P2P網(wǎng)貸平臺(tái)在架構(gòu)、數(shù)據(jù)庫(kù)、安全防范方面，應(yīng)對(duì)黑客的攻擊能力幾乎為零?！?/p>

據(jù)安華金和高級(jí)安全顧問(wèn)譚峻楠介紹，安華金和在云端針對(duì)數(shù)據(jù)庫(kù)內(nèi)核心數(shù)據(jù)的安全防護(hù)方案部署辦法是，將數(shù)據(jù)庫(kù)防火墻部署在數(shù)據(jù)庫(kù)服務(wù)器前，以防止來(lái)自外部人員的攻擊和內(nèi)部人員的誤操作。數(shù)據(jù)庫(kù)防火墻可針對(duì)批量刪除或是批量下載等針對(duì)數(shù)據(jù)庫(kù)的操作行為進(jìn)行細(xì)粒度控制，并實(shí)現(xiàn)100%應(yīng)用用戶關(guān)聯(lián)；同時(shí)通過(guò)對(duì)SQL語(yǔ)法/詞法進(jìn)行精確協(xié)議解析，防止外部對(duì)數(shù)據(jù)庫(kù)漏洞的攻擊和SQL注入、刷庫(kù)等行為。同時(shí)，云環(huán)境下，為了防止數(shù)據(jù)庫(kù)存儲(chǔ)文件丟失，導(dǎo)致整庫(kù)泄密，安華金和數(shù)據(jù)庫(kù)保險(xiǎn)箱通過(guò)對(duì)數(shù)據(jù)庫(kù)敏感字段的加密，防止因數(shù)據(jù)明文存儲(chǔ)導(dǎo)致庫(kù)內(nèi)敏感信息泄露，防止拖庫(kù)行為的發(fā)生。

趨勢(shì)：從穩(wěn)健到安全

云應(yīng)用是大勢(shì)所趨，由此帶動(dòng)企業(yè)系統(tǒng)架構(gòu)和業(yè)務(wù)運(yùn)營(yíng)隨之變化。IT基礎(chǔ)設(shè)施的成本更低，不僅可以便利地實(shí)現(xiàn)擴(kuò)縮，也可以支撐大規(guī)模應(yīng)用；企業(yè)IT架構(gòu)呈現(xiàn)終端化、平臺(tái)化和大數(shù)據(jù)特征，企業(yè)業(yè)務(wù)運(yùn)營(yíng)則可以做到快速試錯(cuò)。

安華金和認(rèn)為，這些變化在運(yùn)維上更直接的表現(xiàn)則是，IaaS使得企業(yè)不再需要安排人到各地出差、讓服務(wù)器上架了，機(jī)房值班更加不需要了；PaaS使得企業(yè)對(duì)應(yīng)用運(yùn)維的需求下降，甚至技術(shù)含量高的DBA，需求量都將銳減；SaaS甚至可以讓企業(yè)相關(guān)的研發(fā)研發(fā)需求都下降了，使得公有云的使用更加傻瓜化。

針對(duì)這些變化，安華金和提出，運(yùn)維關(guān)注點(diǎn)要從應(yīng)用運(yùn)維專向強(qiáng)調(diào)數(shù)據(jù)安全，如果說(shuō)原來(lái)的運(yùn)維強(qiáng)調(diào)穩(wěn)健，現(xiàn)在就要強(qiáng)調(diào)安全，特別是數(shù)據(jù)安全。以行業(yè)云為例，某企業(yè)將管理和部分業(yè)務(wù)數(shù)據(jù)從原來(lái)的“私有”環(huán)境轉(zhuǎn)移到“行業(yè)云”環(huán)境下，數(shù)據(jù)被移到行業(yè)云后，面臨的直接問(wèn)題就是數(shù)據(jù)安全。企業(yè)用戶需要確認(rèn)數(shù)據(jù)在云上是安全的，云環(huán)境的維護(hù)者無(wú)法看到這些數(shù)據(jù)，即使進(jìn)入數(shù)據(jù)庫(kù)也無(wú)法看到敏感的真實(shí)數(shù)據(jù)，只有掌握密鑰的應(yīng)用系統(tǒng)或企業(yè)用戶才能得到真實(shí)數(shù)據(jù)。

系統(tǒng)中的敏感數(shù)據(jù)的保護(hù)需要按照企業(yè)用戶來(lái)區(qū)分，鑰匙需要掌握在企業(yè)用戶的手中，不能是一個(gè)公共的鑰匙。

安全要“銜接線下”，將“秘鑰”做O2O包裝，一定要能夠以線下Key、證卡等實(shí)物形式來(lái)體現(xiàn)，這樣能夠大幅改善Online完全不受控的感受，讓用戶能夠心里踏實(shí)。

為此，公有云要做到防止黑客攻擊，防止SQL注入、防止拖庫(kù)；要實(shí)現(xiàn)數(shù)據(jù)變更可追蹤，數(shù)據(jù)庫(kù)運(yùn)維的可審、可控，同時(shí)要防止云服務(wù)提供商泄露數(shù)據(jù)。

建議：安全責(zé)任全員化

大數(shù)據(jù)時(shí)代，數(shù)據(jù)的價(jià)值和重要性越來(lái)越被強(qiáng)調(diào)，但不可否認(rèn)，數(shù)據(jù)庫(kù)的應(yīng)用環(huán)境日趨復(fù)雜。B/S架構(gòu)使數(shù)據(jù)庫(kù)間接暴露到互聯(lián)網(wǎng)，各種運(yùn)維人員和IT外包人員可以直接訪問(wèn)數(shù)據(jù)庫(kù)，應(yīng)用方式的變更使數(shù)據(jù)庫(kù)訪問(wèn)形式呈現(xiàn)多樣化的特征，這些因素使得數(shù)據(jù)庫(kù)面臨著各類非法操作、惡意操作或誤操作等各類風(fēng)險(xiǎn)。比如：黑客攻擊、盜用密碼越權(quán)操作、大量更新刪除業(yè)務(wù)數(shù)據(jù)、違規(guī)訪問(wèn)數(shù)據(jù)、批量導(dǎo)出數(shù)據(jù)、竊取數(shù)據(jù)拷貝備份或數(shù)據(jù)文件、導(dǎo)出數(shù)據(jù)等。

安華金和認(rèn)為，在數(shù)據(jù)價(jià)值不斷凸顯的同時(shí)，其安全風(fēng)險(xiǎn)也在不斷上升，傳統(tǒng)的安全藩籬已經(jīng)打破，數(shù)據(jù)庫(kù)已經(jīng)不再安全，安全責(zé)任全員化，已經(jīng)成為重要的IT運(yùn)維特點(diǎn)。

為此，安華金和提出了四個(gè)安全運(yùn)維的建議：

一是安全巡檢，要做到防撞庫(kù)，及時(shí)發(fā)現(xiàn)數(shù)據(jù)庫(kù)使用中的隱患，人工安全服務(wù)要實(shí)現(xiàn)數(shù)據(jù)庫(kù)安全加固。

二是主動(dòng)防御，一方面要防拖庫(kù)，核心數(shù)據(jù)要加密存儲(chǔ)，防止內(nèi)部人員數(shù)據(jù)泄漏，另一方面要防刷庫(kù)，虛擬補(bǔ)丁要實(shí)現(xiàn)復(fù)雜漏洞防控，把SQL注入特征庫(kù)防護(hù)。

三是底線防守，要攔截超過(guò)閥值限制的批量查詢操作，阻斷繞過(guò)合法應(yīng)用的訪問(wèn)，禁止本地登錄。

四是事后監(jiān)督，要做到批量泄漏和惡意數(shù)據(jù)庫(kù)訪問(wèn)監(jiān)控和告警，準(zhǔn)確業(yè)務(wù)用戶關(guān)聯(lián)， 業(yè)務(wù)語(yǔ)言識(shí)別。

對(duì)應(yīng)于上述四個(gè)建議，安華金和作為專業(yè)的數(shù)據(jù)庫(kù)安全提供商，具備數(shù)據(jù)庫(kù)安全在事前、事中、事后的全過(guò)程防護(hù)能力并提供系列數(shù)據(jù)庫(kù)安全產(chǎn)品與行業(yè)解決方案，通過(guò)數(shù)據(jù)庫(kù)漏掃對(duì)數(shù)據(jù)庫(kù)進(jìn)行檢查預(yù)警；利用數(shù)據(jù)庫(kù)防火墻和數(shù)據(jù)庫(kù)保險(xiǎn)箱進(jìn)行數(shù)據(jù)庫(kù)安全的主動(dòng)防御；安全事件發(fā)生后通過(guò)數(shù)據(jù)庫(kù)監(jiān)控與審計(jì)系統(tǒng)進(jìn)行跟蹤審計(jì)，預(yù)警防范。據(jù)了解，安全金和系列產(chǎn)品與云端應(yīng)用已經(jīng)在政府機(jī)關(guān)、金融行業(yè)、社保行業(yè)和企業(yè)客戶中有大量的部署和成功案例。