何靜

數(shù)據(jù)庫(kù)加固是一項(xiàng)紛繁復(fù)雜的工作，不但需要解決數(shù)據(jù)庫(kù)存在的安全問(wèn)題，更要針對(duì)每種安全問(wèn)題、多種安全加固方案權(quán)衡利弊，保證業(yè)務(wù)系統(tǒng)的正常和穩(wěn)定。以下針對(duì)數(shù)據(jù)庫(kù)漏洞、數(shù)據(jù)庫(kù)弱口令、數(shù)據(jù)庫(kù)身份認(rèn)證、數(shù)據(jù)庫(kù)網(wǎng)絡(luò)安全、數(shù)據(jù)庫(kù)審計(jì)、日志安全、數(shù)據(jù)庫(kù)權(quán)限配置和數(shù)據(jù)庫(kù)安全策略的數(shù)據(jù)后門(mén)木馬等問(wèn)題，提出加固建議和方案。

1.數(shù)據(jù)庫(kù)漏洞加固

數(shù)據(jù)庫(kù)漏洞是數(shù)據(jù)庫(kù)安全加固的核心，也是各種檢查和滲透測(cè)試的關(guān)鍵點(diǎn)。如何消除數(shù)據(jù)庫(kù)漏洞、保證系統(tǒng)穩(wěn)定是擺在使用者面前的難題。

（1）數(shù)據(jù)庫(kù)版本升級(jí)加固辦法

通過(guò)數(shù)據(jù)庫(kù)漏洞掃描工具對(duì)數(shù)據(jù)庫(kù)進(jìn)行檢測(cè)，通過(guò)識(shí)別數(shù)據(jù)庫(kù)組件、版本和補(bǔ)丁號(hào)等關(guān)鍵信息過(guò)濾出數(shù)據(jù)庫(kù)存在的安全漏洞列表，形成《數(shù)據(jù)庫(kù)安全檢測(cè)報(bào)告》。報(bào)告中，針對(duì)數(shù)據(jù)庫(kù)存在的漏洞，提供每一個(gè)漏洞的補(bǔ)丁鏈接。用戶可以選擇通過(guò)下載數(shù)據(jù)庫(kù)補(bǔ)丁升級(jí)，解決存在的數(shù)據(jù)庫(kù)漏洞。但補(bǔ)丁升級(jí)的方式需要做一系列的應(yīng)用穩(wěn)定性測(cè)試，避免數(shù)據(jù)庫(kù)升級(jí)后，應(yīng)用出現(xiàn)不穩(wěn)定或無(wú)法使用的問(wèn)題。一次完整的應(yīng)用穩(wěn)定性測(cè)試需要比較長(zhǎng)的時(shí)間，這種比較適合在有穩(wěn)定計(jì)劃按部就班的情況下使用。

（2）第三方工具加固辦法

對(duì)于比較緊急的情況，不建議通過(guò)升級(jí)數(shù)據(jù)庫(kù)漏洞解決安全問(wèn)題，建議采用有虛擬補(bǔ)丁功能的數(shù)據(jù)庫(kù)防火墻產(chǎn)品，以串聯(lián)方式部署于數(shù)據(jù)庫(kù)之前。虛擬補(bǔ)丁會(huì)幫助數(shù)據(jù)庫(kù)阻止針對(duì)數(shù)據(jù)庫(kù)的漏洞發(fā)現(xiàn)和漏洞滲透攻擊，杜絕攻擊者利用漏洞對(duì)數(shù)據(jù)庫(kù)發(fā)起的直接攻擊。

2.數(shù)據(jù)庫(kù)弱口令加固辦法

（1）修改弱口令加固辦法

弱口令加固最直接的辦法就是把弱口令修改成強(qiáng)口令。直接修改數(shù)據(jù)庫(kù)賬號(hào)的密碼并不復(fù)雜，復(fù)雜的是衍生問(wèn)題。如果同時(shí)有多個(gè)業(yè)務(wù)系統(tǒng)使用同一數(shù)據(jù)庫(kù)賬號(hào)，需要求多個(gè)業(yè)務(wù)系統(tǒng)一起修改訪問(wèn)數(shù)據(jù)庫(kù)的密碼，過(guò)程中可能會(huì)出現(xiàn)遺忘而導(dǎo)致業(yè)務(wù)中斷等問(wèn)題。

（2）第三方工具加固辦法

除了直接修改弱口令密碼，也可以使用帶有數(shù)據(jù)庫(kù)密碼橋功能的第三方軟件解決弱密碼問(wèn)題。密碼橋是用來(lái)做數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)密碼映射的軟件，串聯(lián)在應(yīng)用和數(shù)據(jù)庫(kù)之間。應(yīng)用使用密碼訪問(wèn)數(shù)據(jù)庫(kù)，密碼橋通過(guò)改登陸包的方式把應(yīng)用的錯(cuò)誤密碼映射成數(shù)據(jù)庫(kù)的正確密碼，幫助應(yīng)用連上數(shù)據(jù)庫(kù)。

數(shù)據(jù)庫(kù)修改密碼后，不需要調(diào)整所有應(yīng)用訪問(wèn)數(shù)據(jù)庫(kù)的密碼，只需要修改中間密碼橋的映射表即可，使用密碼橋可以有效地降低修改弱口令帶來(lái)的潛在業(yè)務(wù)宕機(jī)風(fēng)險(xiǎn)。

3.數(shù)據(jù)庫(kù)身份認(rèn)證加固辦法

（1）提高數(shù)據(jù)庫(kù)身份認(rèn)證能力

數(shù)據(jù)庫(kù)身份認(rèn)證的加固需要按照不同的情況進(jìn)行，如果是數(shù)據(jù)庫(kù)缺乏身份認(rèn)證能力，需要通過(guò)升級(jí)到有身份認(rèn)證功能的數(shù)據(jù)庫(kù)版本。如果只是數(shù)據(jù)庫(kù)身份驗(yàn)證功能未開(kāi)啟，只需要通過(guò)調(diào)整參數(shù)開(kāi)啟數(shù)據(jù)庫(kù)身份認(rèn)證功能即可。

（2）第三方工具加固辦法

如果數(shù)據(jù)庫(kù)升級(jí)遇到困難，數(shù)據(jù)庫(kù)又缺乏身份認(rèn)證能力，也可以退而求其次利用數(shù)據(jù)庫(kù)防火墻的IP/Mac綁定，鎖定允許訪問(wèn)數(shù)據(jù)庫(kù)的固定機(jī)器，在一定程度上彌補(bǔ)了缺乏數(shù)據(jù)庫(kù)身份驗(yàn)證的問(wèn)題。

4.數(shù)據(jù)庫(kù)網(wǎng)絡(luò)安全加固辦法

（1）提高數(shù)據(jù)庫(kù)自身網(wǎng)絡(luò)加密功能力

數(shù)據(jù)庫(kù)網(wǎng)絡(luò)安全加固需要按照不同的情況進(jìn)行。如果是缺乏數(shù)據(jù)庫(kù)網(wǎng)絡(luò)加密功能，需要通過(guò)升級(jí)到有網(wǎng)絡(luò)加密功能的數(shù)據(jù)庫(kù)版本。如果只是數(shù)據(jù)庫(kù)網(wǎng)絡(luò)加密功能未開(kāi)啟，只需要通過(guò)調(diào)整參數(shù)開(kāi)啟網(wǎng)絡(luò)加密功能即可。

請(qǐng)注意數(shù)據(jù)庫(kù)網(wǎng)絡(luò)通信協(xié)議加密后會(huì)導(dǎo)致很多數(shù)據(jù)庫(kù)監(jiān)控、審計(jì)軟件無(wú)法正常工作。

（2）第三方工具加固辦法

網(wǎng)絡(luò)加密的目標(biāo)是防止中間人攻擊。退而求其次利用數(shù)據(jù)庫(kù)防火墻的IP/Mac綁定，鎖定允許訪問(wèn)數(shù)據(jù)庫(kù)的固定機(jī)器，在一定程度上彌補(bǔ)了網(wǎng)絡(luò)明文引起的安全威脅。

5.數(shù)據(jù)庫(kù)審計(jì)和日志安全加固辦法

（1）開(kāi)啟數(shù)據(jù)庫(kù)審計(jì)和日志加固辦法

數(shù)據(jù)庫(kù)審計(jì)和日志有助于幫助客戶對(duì)攻擊進(jìn)行溯源，加固的主要方式是開(kāi)啟審計(jì)和日志，設(shè)置嚴(yán)格的策略。

（2）第三方工具加固辦法

審計(jì)日志開(kāi)啟會(huì)對(duì)數(shù)據(jù)庫(kù)性能造成影響，除了開(kāi)啟數(shù)據(jù)庫(kù)自身的審計(jì)和日志外，還可以通過(guò)第三方數(shù)據(jù)庫(kù)審計(jì)工具完成數(shù)據(jù)庫(kù)審計(jì)日志的安全加固任務(wù)。

6.數(shù)據(jù)庫(kù)權(quán)限配置安全加固辦法

（1）數(shù)據(jù)庫(kù)自身權(quán)限配置加固辦法

基于數(shù)據(jù)庫(kù)賬號(hào)/角色權(quán)限配置清單和客戶數(shù)據(jù)庫(kù)管理員進(jìn)行溝通，按照最小化權(quán)限原則削減數(shù)據(jù)庫(kù)賬號(hào)的權(quán)限。

（2）第三方工具加固辦法

由于數(shù)據(jù)庫(kù)賬號(hào)和角色之間關(guān)系錯(cuò)綜復(fù)雜，很容易越調(diào)越亂，甚至產(chǎn)生新的權(quán)限問(wèn)題，可以通過(guò)有細(xì)粒度控制能力的數(shù)據(jù)庫(kù)防火墻產(chǎn)品，在數(shù)據(jù)庫(kù)外再做一層數(shù)據(jù)庫(kù)權(quán)限設(shè)置。這樣既避免了數(shù)據(jù)庫(kù)自身權(quán)限的混亂，又解決了數(shù)據(jù)庫(kù)權(quán)限不符合最小化原則的問(wèn)題。

7.數(shù)據(jù)庫(kù)安全策略加固辦法

在不影響業(yè)務(wù)的前提下，通過(guò)對(duì)數(shù)據(jù)庫(kù)安全策略配置，完成數(shù)據(jù)庫(kù)安全策略加固。

8.數(shù)據(jù)庫(kù)后門(mén)/木馬清理辦法

發(fā)現(xiàn)疑似數(shù)據(jù)庫(kù)后門(mén)或木馬的觸發(fā)器或存儲(chǔ)過(guò)程，在DBA確認(rèn)和業(yè)務(wù)無(wú)關(guān)后，需要進(jìn)行清理和追蹤。