推薦幾種關(guān)于保障數(shù)據(jù)庫(kù)安全的有效方法

（文章來(lái)源：廣州天凱科技）

要是數(shù)據(jù)信息出現(xiàn)泄漏，那樣付出的代價(jià)將是十分慘重的。是因?yàn)閿?shù)據(jù)泄露而造成的業(yè)務(wù)中斷、客戶信心喪失、法律成本、監(jiān)管罰款，或是是是因?yàn)轭愃迫湎x(chóng)病毒攻擊造成的直接損失，這種后果將會(huì)需要花費(fèi)數(shù)百萬(wàn)。常言道，最好的防守就是創(chuàng)建進(jìn)攻，因而讓我們來(lái)學(xué)習(xí)下列五個(gè)重要實(shí)踐，以確保數(shù)據(jù)庫(kù)的安全:保護(hù)、審計(jì)、管理、更新和數(shù)據(jù)加密。

數(shù)據(jù)庫(kù)代理(或網(wǎng)關(guān)代理)設(shè)在程序和數(shù)據(jù)庫(kù)中間，接收來(lái)源于程序的連接請(qǐng)求，隨后代表這種程序連接到數(shù)據(jù)庫(kù)。自動(dòng)化數(shù)據(jù)庫(kù)代理確保了過(guò)濾裝置和加載模塊，以確保安全、可靠性、可伸縮性和性能優(yōu)越性。數(shù)據(jù)庫(kù)防火墻過(guò)濾器根據(jù)過(guò)濾器分析創(chuàng)建的查詢，假如發(fā)送過(guò)去的查詢不滿足早已提前設(shè)置的查詢類型的白名單，那樣過(guò)濾裝置就會(huì)自動(dòng)阻攔。比如說(shuō)，給出的連接只可以執(zhí)行更新和插入，而另一個(gè)連接務(wù)必配對(duì)某些正則表達(dá)式，等。

審計(jì)和統(tǒng)計(jì)統(tǒng)計(jì)是密切相連的，可是審計(jì)統(tǒng)計(jì)比通常統(tǒng)計(jì)要復(fù)雜得多。審計(jì)統(tǒng)計(jì)給用戶確保了調(diào)查異常活動(dòng)所需要的全部信息內(nèi)容，假如確實(shí)做過(guò)違反規(guī)范的操作，還能夠根據(jù)審計(jì)統(tǒng)計(jì)實(shí)現(xiàn)根源分析。

MariaDB審計(jì)插件能夠統(tǒng)計(jì)很多信息內(nèi)容：全部傳入的連接、全部執(zhí)行的查詢，甚至全部單個(gè)表的訪問(wèn)記錄。用戶能夠看見(jiàn)誰(shuí)在給出的時(shí)間訪問(wèn)了一個(gè)表，及其誰(shuí)執(zhí)行了插入或刪除數(shù)據(jù)信息的操作。審計(jì)插件能夠統(tǒng)計(jì)到文件或syslog，因而假如早已擁有有賴于syslog的工作流，那樣就能夠直接將其綁定到這種文件中。

嚴(yán)格要求數(shù)據(jù)庫(kù)用戶賬號(hào)是十分重要的。不管針對(duì)IT生態(tài)系統(tǒng)的哪個(gè)層面來(lái)說(shuō)，這都是1條正確的規(guī)范，因而人們不會(huì)在這里詳細(xì)描述。相反，人們將簡(jiǎn)單地提醒您用戶帳戶管理的幾個(gè)重要層面：只允許超級(jí)管理員從本地客戶端實(shí)現(xiàn)訪問(wèn)。堅(jiān)持采用強(qiáng)密碼。每個(gè)程序都有單獨(dú)的數(shù)據(jù)庫(kù)用戶。限定能夠訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器的IP地址的數(shù)目。4.確保數(shù)據(jù)庫(kù)軟件和操作系統(tǒng)是最新的

眾所周知讓軟件處在最新版的原因，但或是有很多人會(huì)去運(yùn)行遺留下的服務(wù)器系統(tǒng)及其低版本的數(shù)據(jù)庫(kù)服務(wù)器。人們時(shí)刻必須謹(jǐn)記，只可以將版本保證為最新版這才是保護(hù)數(shù)據(jù)信息免受那些最新威脅的唯一方法。這不但適用服務(wù)器軟件，也適用服務(wù)器系統(tǒng)。終究，Windows服務(wù)器系統(tǒng)安全更新的運(yùn)用不大好，這也間接性造成了蠕蟲(chóng)病毒的攻擊成為了將會(huì)。

很多管理機(jī)構(gòu)都是會(huì)對(duì)數(shù)據(jù)加密實(shí)現(xiàn)簡(jiǎn)短的處理，但這么做卻很有價(jià)值。終究，假如他們能在平時(shí)的工作中能夠發(fā)現(xiàn)密碼會(huì)被破解，那樣這就會(huì)降低黑客入侵的概率。數(shù)據(jù)加密的第一個(gè)環(huán)節(jié)是在程序里面，這時(shí)數(shù)據(jù)信息還未到達(dá)數(shù)據(jù)庫(kù)。假如數(shù)據(jù)信息在程序中就早已被數(shù)據(jù)加密了，那樣毀壞數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)黑客就分辨不出數(shù)據(jù)是什么(但是，這只適用并沒(méi)有密鑰的數(shù)據(jù)信息)。

下一步是傳輸過(guò)程中的數(shù)據(jù)加密。這代表當(dāng)數(shù)據(jù)信息從客戶端移動(dòng)到數(shù)據(jù)庫(kù)服務(wù)器(或在代理服務(wù)器上)時(shí)，數(shù)據(jù)信息在互聯(lián)網(wǎng)上數(shù)據(jù)加密。這與在web瀏覽器中采用HTTPS基本相同。毫無(wú)疑問(wèn)，服務(wù)器能夠看見(jiàn)這種信息內(nèi)容，是因?yàn)樗枰x取用戶填寫(xiě)的表單，用戶還可以讀取信息內(nèi)容，是因?yàn)槭撬麄兲顚?xiě)的表單，但在用戶和服務(wù)器之間沒(méi)人能夠讀取它。

最后，人們講一下數(shù)據(jù)庫(kù)處在空閑時(shí)的數(shù)據(jù)加密。你可以采用它來(lái)數(shù)據(jù)加密InnoDB表空間、InnoDBredo統(tǒng)計(jì)及其二進(jìn)制統(tǒng)計(jì)。這代表你可以在MariaDB服務(wù)器上中數(shù)據(jù)加密幾乎全部被寫(xiě)入光盤(pán)的東西。