【51CTO.COM 獨家翻譯】確保任何關系數據庫的安全并非易事，更用不說像甲骨文數據庫這么極其龐大、功能豐富的數據庫了。這款產品有眾多不同的部署方式，再加上諸多安裝的遺留版本，幾乎不可能識別及防范每一個潛在的威脅。甲骨文數據庫連接至Web應用程序，這帶來了充滿變數的開源和第三方軟件，因而最終用戶企業就更容易受到攻擊了。

不過，并不是用戶不可能駕馭甲骨文數據庫，特別是借助甲骨文公司最近發布的一些新工具。下面不妨看一下甲骨文數據庫用戶面臨的幾個安全難題，以及應對難題的一些方法。

第一大難題：打補丁

在過去，甲骨文在給需要引起注意的安全漏洞及時打上補丁方面表現很糟糕。因備受關注的漏洞披露，加上客戶強烈抗議，這家公司于是改變了做法。甲骨文在實質性披露漏洞風險方面仍顯得滯后，無疑沒有以一種其客戶能夠明白的語言來告知風險，而且通常也不提供變通方法。不過，它發布安全補丁的確比幾年前要及時得多。

但任何甲骨文數據庫管理員都會告訴你，安裝甲骨文補丁很難，特別是由于系統常常需要在打上補丁后重啟；而許多業務功能圍繞甲骨文數據庫這個核心系統來運行。

停掉數據庫以便打補丁可不是唯一的問題；對數據庫功能進行改動也會導致副作用央及整個企業。大多數數據庫管理員在安裝補丁后都會遇到嚴重的數據庫崩潰，不得不完成隨后的清除過程。

第二大難題：部署復雜性

無論是中型企業還是大企業，許多企業都在積極采用虛擬化技術，旨在改進服務、提高靈活性和冗余性，同時降低運營成本。網格系統把可擴展性和負載均衡推向了新的水平。而安裝云架構成為了現實，甲骨文數據庫作為一項服務來提供。

這每一種新的部署模式都會帶來威脅途徑。由于安裝了多節點、虛擬和復制的系統，因而大大加強了核實配置設置的難度。想核實補丁、訪問控制設置和識別配置不當的機器，也困難得多。

此外，許多攻擊者偷偷篡改配置設置，這些設置直到數據庫重啟后才會生效。篡改和隨后的攻擊極難被發覺，更不用說發現彼此之間的聯系了。

第三大難題：Web應用程序

保護專有的Web應用程序是一個更大的難題，因為與仁科、Siebel和甲骨文財務軟件等商業產品不一樣，Web應用程序是結合了復雜的開源軟件和第三方服務開發而成的。網頁通常具有動態性，所以每個用戶體驗都略有不同，因而使得應用程序的安全測試顯得更困難了。

結果就是，你根本無法用一般的評估和審計產品來保護Web應用程序的安全。安全工具需要大量的定制工作，而Web應用程序需要比商用軟件更全面深入的測試和認證。

第四大難題：廣泛的威脅范圍

甲骨文數據庫提供了數量眾多的功能和選項，因而面臨更大的威脅范圍，這讓攻擊者有機會瞄向多得多的目標。甲骨文數據庫標配的許多功能是許多公司很少使用的。而幾乎每一個甲骨文軟件包的安全都曾經受到過危及。

由于甲骨文軟件包兼顧眾多不同的用例（use case），所以沒有什么所謂安全的默認配置。默認的甲骨文數據庫配置并不安全，所以用戶得抽些時間來取消自己不需要的功能；還要在數據庫投入生產環境之前，核實用戶、平臺和應用程序等方面的安全措施已落實到位。

第五大難題：安裝的遺留版本

不是每個甲骨文的客戶都使用版本11的數據庫。實際上，絕大多數客戶使用比較舊的版本。一大部分甲骨文客戶仍使用版本8和9。甲骨文數據庫功能穩定，所以客戶并不急于將錢投入到升級上。

但這些版本是在大多數人聽說緩沖器溢出攻擊或遠程漏洞之前設計和開發的。許多已知的安全威脅已通過補丁得到了消除--假如它們都已經向后移植（backport），但這些舊版本數據庫缺少密碼管理、加密、數據庫管理員角色隔離和審計等方面的一些改進。

同樣，使用舊版本甲骨文數據庫的遺留應用系統并沒有內置安全功能，比如控制系統、自主開發的應用系統、大型機連接器和SAP R3等系統。應用系統與數據庫之間有著相互依賴的關系，依靠外部安全服務來檢測和防范威脅。

盡管面臨上述難題，但甲骨文公司還是在提供一套越來越可靠的安全功能和應用軟件。如果公司企業充分利用好這些工具，就對保護自己的甲骨文數據庫大有幫助。

來源：http://www.darkreading.com/database-security/167901020/security/application-security/228300490/the-top-five-challenges-in-securing-oracle-databases.html

【51CTO.com獨家譯稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】

【編輯推薦】

1. 用數據庫安全策略防止權限升級攻擊
2. 優秀企業數據庫安全策略所具備的四個要點
3. 企業數據庫安全失效的五大原因匯總
4. 數據庫安全之MSSQL數據庫防注入