文 /馮潔瑩 張華 鄭強(qiáng)

浙江大學(xué)整合數(shù)據(jù)庫的軟件和硬件

文 /馮潔瑩 張華 鄭強(qiáng)

近年來，隨著高校師生敏感數(shù)據(jù)泄露、篡改等多種安全事件的不斷發(fā)生，各高校越來越重視數(shù)據(jù)庫的安全防護(hù)和加固。本文結(jié)合浙江大學(xué)數(shù)據(jù)庫現(xiàn)狀，對現(xiàn)有的安全策略和正在推進(jìn)的強(qiáng)化措施進(jìn)行介紹。

浙江大學(xué)數(shù)據(jù)庫現(xiàn)狀

浙江大學(xué)現(xiàn)階段使用的是一種集中專用的數(shù)據(jù)庫硬件架構(gòu)，即“服務(wù)器+數(shù)據(jù)庫+存儲設(shè)備”的數(shù)據(jù)處理架構(gòu)。針對浙江大學(xué)真實(shí)的數(shù)據(jù)庫應(yīng)用環(huán)境，以及每年遞增的數(shù)據(jù)庫使用需求，目前浙江大學(xué)信息技術(shù)中心已先后在三個機(jī)房部署多套數(shù)據(jù)庫集群，這些集群分別部署在虛擬機(jī)和物理PC服務(wù)器上。

以前的數(shù)據(jù)庫運(yùn)行在不同物理服務(wù)器的不同平臺上，設(shè)備普遍比較老舊。此外，各套數(shù)據(jù)庫之間版本不統(tǒng)一且普遍版本過舊，漏洞多，性能低下，維護(hù)成本較高。同時，隨著硬件技術(shù)的改進(jìn)，尤其是 CPU數(shù)量的增加，服務(wù)器能夠處理更多的工作負(fù)載，而數(shù)據(jù)庫只使用了服務(wù)器硬件容量的一部分，導(dǎo)致硬件資源無法得到充分利用，造成一定的資源浪費(fèi)。上述種種原因造成了在現(xiàn)有的數(shù)據(jù)庫環(huán)境下，直接添加安全防護(hù)措施的難度和成本將大大增加。

因此，浙江大學(xué)信息技術(shù)中心目前正在全面推進(jìn)數(shù)據(jù)庫的整合升級工作。基于浙江大學(xué)現(xiàn)有的硬件環(huán)境，依然采取傳統(tǒng)的數(shù)據(jù)庫集群架構(gòu)，通過軟件層面升級，實(shí)現(xiàn)數(shù)據(jù)庫軟件及硬件的整合統(tǒng)一，調(diào)整后的架構(gòu)如圖1。

數(shù)據(jù)庫整合統(tǒng)一后，信息技術(shù)中心維護(hù)的所有數(shù)據(jù)庫將共用同一套服務(wù)器、數(shù)據(jù)庫系統(tǒng)和存儲設(shè)備，在安全方面最直接的好處是所有的安全防護(hù)設(shè)備可以統(tǒng)一部署，為后續(xù)安全工作的開展打好基礎(chǔ)。

圖1 整合后的數(shù)據(jù)庫系統(tǒng)架構(gòu)

數(shù)據(jù)庫安全策略配置

浙江大學(xué)數(shù)據(jù)庫在保障服務(wù)器及網(wǎng)絡(luò)環(huán)境安全防范的基礎(chǔ)上充分利用數(shù)據(jù)庫系統(tǒng)自身的策略進(jìn)行安全防護(hù)，主要包括如下幾個方面：

訪問控制和權(quán)限控制

1.基本參數(shù)設(shè)置

要對一些基本參數(shù)進(jìn)行設(shè)置，如：用戶密碼必須為復(fù)雜密碼；設(shè)置密碼失效時間和密碼過期提示；密碼使用一段時間后強(qiáng)制要求重置密碼；限制登錄失敗重試次數(shù)；設(shè)置賬號鎖定時長等等。

2.用戶權(quán)限控制

要對用戶的權(quán)限進(jìn)行嚴(yán)格控制。申請用戶權(quán)限需提交書面申請，同時數(shù)據(jù)庫維護(hù)人員要對用戶申請的權(quán)限進(jìn)行審核。僅授予用戶所需的權(quán)限，限制用戶操縱數(shù)據(jù)庫的權(quán)利；僅允許用戶對其名下的數(shù)據(jù)庫實(shí)體進(jìn)行存取執(zhí)行，阻止用戶訪問非授權(quán)數(shù)據(jù)。

3.視圖機(jī)制

要采用視圖機(jī)制，限制用戶存取基表的行和列集合。

數(shù)據(jù)庫備份

1.數(shù)據(jù)庫啟用自動歸檔

歸檔日志是非活動的重做日志備份。通過使用歸檔日志，可以保留所有重做歷史記錄，可用于用戶數(shù)據(jù)文件的恢復(fù)。

2.數(shù)據(jù)庫啟用自動物理備份

物理備份是對數(shù)據(jù)庫的物理文件（數(shù)據(jù)文件、控制文件、參數(shù)文件、歸檔日志文件）進(jìn)行轉(zhuǎn)儲，一旦數(shù)據(jù)庫發(fā)生故障，可以利用這些文件恢復(fù)到數(shù)據(jù)庫的失效點(diǎn)。物理備份分為熱備份和冷備份。由于冷備份需要數(shù)據(jù)庫暫時處于關(guān)閉狀態(tài)，因此浙江大學(xué)的數(shù)據(jù)庫采用熱備份的方式。

3.數(shù)據(jù)庫啟用自動邏輯備份

邏輯備份是對數(shù)據(jù)庫對象（用戶、表、存儲過程等）進(jìn)行轉(zhuǎn)儲。

4.數(shù)據(jù)庫啟用控制文件自動備份

控制文件是一類物理文件，它的重要性在于它記錄了數(shù)據(jù)庫名字、數(shù)據(jù)文件位置等信息，一旦控制文件被損壞，數(shù)據(jù)庫將會宕機(jī)。因此，需要在不同的物理路徑下備份控制文件。

5.數(shù)據(jù)庫啟用歸檔日志自動刪除

數(shù)據(jù)庫已開啟了自動物理和邏輯備份，因此歸檔日志存在大量冗余，為提高空間的可用性和利用率，需對已備份的歸檔日志進(jìn)行自動刪除，充分利用存儲空間。

數(shù)據(jù)庫審計(jì)

數(shù)據(jù)庫審計(jì)可以記錄對數(shù)據(jù)庫對象的所有操作。無論哪種數(shù)據(jù)庫系統(tǒng)，均會提供不同的審計(jì)方法來監(jiān)控使用何種權(quán)限，以及訪問哪些對象。審計(jì)不會防止使用這些權(quán)限，但可以提供有用的信息，用于揭示權(quán)限的濫用和誤用。

審計(jì)一般可以分為三類：語句審計(jì)、權(quán)限審計(jì)和對象審計(jì)。但過度的審計(jì)可能會對數(shù)據(jù)庫性能產(chǎn)生負(fù)面影響，因此應(yīng)該先對關(guān)鍵的權(quán)限和對象進(jìn)行基礎(chǔ)審計(jì)，然后根據(jù)需要再擴(kuò)展審計(jì)。

浙江大學(xué)現(xiàn)有的數(shù)據(jù)庫審計(jì)采用對更新、刪除等權(quán)限以及重點(diǎn)單位名下對象進(jìn)行基礎(chǔ)審計(jì)的模式，擴(kuò)展審計(jì)根據(jù)重要級別按需增加。整合后的數(shù)據(jù)庫系統(tǒng)上將繼續(xù)采用原有的審計(jì)模式。考慮到新數(shù)據(jù)庫性能更優(yōu)，將適當(dāng)調(diào)整審計(jì)范圍和程度，保證在基本不影響性能的情況下，實(shí)現(xiàn)最大程度的審計(jì)力度。后續(xù)還將考慮添加數(shù)據(jù)庫外部審計(jì)，如基于網(wǎng)絡(luò)偵聽的外部審計(jì)設(shè)備等。

其他安全防護(hù)措施

1.數(shù)據(jù)庫災(zāi)備

數(shù)據(jù)庫災(zāi)備包括數(shù)據(jù)庫容災(zāi)和數(shù)據(jù)庫備份。容災(zāi)在數(shù)據(jù)庫遭遇人為或自然災(zāi)害時保證業(yè)務(wù)的正常運(yùn)行；備份保證災(zāi)難來臨時不會造成數(shù)據(jù)的丟失。數(shù)據(jù)庫災(zāi)備為數(shù)據(jù)庫實(shí)現(xiàn)高可用性提供重要保障。

目前浙江大學(xué)一些核心系統(tǒng)已實(shí)現(xiàn)災(zāi)備。在數(shù)據(jù)庫整合統(tǒng)一后，將搭建統(tǒng)一的災(zāi)備系統(tǒng)，為主生產(chǎn)系統(tǒng)提供保障，一旦主生產(chǎn)系統(tǒng)因人為攻擊或自然災(zāi)害而無法繼續(xù)提供數(shù)據(jù)服務(wù)時，災(zāi)備系統(tǒng)可以立刻接管業(yè)務(wù)，并在主數(shù)據(jù)庫恢復(fù)后將業(yè)務(wù)回切，以保證業(yè)務(wù)的不中斷，同時硬件資源也能達(dá)到最大化的利用。

2.堡壘機(jī)

堡壘機(jī)是一個統(tǒng)稱，不同的生產(chǎn)廠商對其有不同的命名。它運(yùn)用各種技術(shù)手段實(shí)時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件和網(wǎng)絡(luò)活動，并對收集到的信息進(jìn)行集中報(bào)警、記錄、分析和處理，從而保障系統(tǒng)不受來自外部和內(nèi)部用戶的入侵和破壞。

以往，一旦發(fā)現(xiàn)疑似數(shù)據(jù)庫安全事件，往往需要數(shù)據(jù)庫維護(hù)人員根據(jù)已有的線索，翻閱日志，分析原因并采取措施。而考慮到數(shù)據(jù)庫性能，數(shù)據(jù)庫審計(jì)往往不會過于精細(xì)，導(dǎo)致可參考的審計(jì)內(nèi)容有限，增加了分析處理的難度。此外，以往對數(shù)據(jù)庫訪問的控制往往通過用戶賬戶密碼和IP地址過濾來實(shí)現(xiàn)，局限性大，且無法審計(jì)用戶連接數(shù)據(jù)庫后的操作，存在很大的安全隱患。

堡壘機(jī)通常具備跨平臺管理、多維度訪問控制與授權(quán)、運(yùn)維行為審計(jì)、審計(jì)信息管理等功能。將堡壘機(jī)采用“物理旁路、邏輯串聯(lián)”的方式部署在數(shù)據(jù)庫系統(tǒng)上后，所有的用戶必須通過堡壘機(jī)才能訪問數(shù)據(jù)庫，用戶的所有操作行為都將被記錄存儲下來，從而實(shí)現(xiàn)對用戶的操作審計(jì)。對高校而言，堡壘機(jī)通過集中的賬號管理、運(yùn)維操作訪問控制和全程運(yùn)維操作審計(jì)，能幫助高校信息部門轉(zhuǎn)變傳統(tǒng)的安全運(yùn)維被動響應(yīng)模式，建立面向用戶的集中、主動的運(yùn)維安全管控模式，降低人為安全風(fēng)險，保障高校運(yùn)維的安全穩(wěn)定運(yùn)行。

浙江大學(xué)在確保服務(wù)器及網(wǎng)絡(luò)環(huán)境安全的前提下，合理配置數(shù)據(jù)庫安全策略，結(jié)合數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫災(zāi)備和即將配置的堡壘機(jī)，將全面保障學(xué)校數(shù)據(jù)庫系統(tǒng)的安全穩(wěn)定運(yùn)行。

技術(shù)在不斷革新，數(shù)據(jù)庫技術(shù)日新月異，隨之而來的安全隱患也源源不斷。除了不斷更新數(shù)據(jù)庫安全防護(hù)策略和措施外，也應(yīng)加強(qiáng)對數(shù)據(jù)庫用戶、管理員的安全意識和安全操作培訓(xùn)，從多方面保障數(shù)據(jù)庫的安全。

（責(zé)編：王左利）

(作者單位為浙江大學(xué)信息技術(shù)中心)