數據庫安全，和其他所有安全問題一樣，都是圍繞減輕風險的，而不是消除風險，你不可能消除所有的風險，但是你能夠控制這些風險，以確保這些安全風險不會給企業帶來麻煩。

假設你是攻擊企業網絡的惡意攻擊者，那么你首先會攻擊哪些數據呢？在大多數企業中，大量有價值的數據通常都位于相同的應用中，即數據庫。

網絡中存在數百萬的數據庫，而大多數攻擊者都不是太挑剔，他們會直接選擇最不安全的數據庫下手。當攻擊者將你設為攻擊目標時，企業將面臨巨大的安全威脅。本文將探討如何通過三個步驟來保持數據庫的安全性以確保不成為網絡攻擊者的目標。

第一個問題就是找到數據庫服務器本身。數據庫服務器最常見的位置是在數據中心，在數據中心的數據庫通常都有日志記錄，也更加安全。不過也有很多數據庫服務器出現在企業的其他部分，包括研究和開發實驗室、測試環境和嵌入式系統等。

找出這些數據庫服務器并分析這些數據庫服務器所存儲的信息是管理安全風險和保護企業最重要數據的第一個步驟，在測試環境映射生產服務器并不罕見，很多測試環境都存儲著與生產環境相同的重要信息。研發團隊通常在沒有告知IT團隊或者尋求IT團隊幫助的情況下就安裝服務區，所以發現包含重要研究信息的服務器并不罕見。

找到包含重要數據的數據庫服務器后，第二個步驟就是鎖定這些數據庫服務器。實現這個步驟主要有三個要素：防火墻、漏洞修復和Web應用程序。數據庫服務器并不需要被企業的每個工作站訪問，當然這也可能存在例外，但不太可能。花點時間為數據庫服務器部署合適的防火墻，確保服務器只能與必要的系統通信，并記住縱深防御的方法：在網絡、主機和應用程序級別制定規則。

適當限制對數據庫服務器的訪問權限肯定能夠減少攻擊面，但這并不意味著可以不用修復補丁。很多調查都發現，數據庫管理員沒有定期修復數據庫系統的補丁。對于安全來說，定期修復補丁絕對是有必要的，這樣不至于因為幾個月前未修復的漏洞而受到攻擊。建立一個測試環境，然后修復補丁，確認補丁修復，然后修復生產環境的補丁。

Web應用程序給數據庫安全問題帶來了新的考驗，web應用承諾工序需要將數據傳上網絡，并且讓數據庫后端為其提供支持，這些已經產生了數百萬條敏感數據記錄。SQL注入攻擊是2010年OWASP前十名最具攻擊性的攻擊之首，SQL注入攻擊可以允許攻擊者僅使用Web瀏覽器就可以從數據庫讀取、修改和刪除數據。

如果你的web應用程序是由數據庫提供支持的，那么你需要為web應用程序的開發生命周期部署安全編碼，并且當任何時候引入新代碼時，都會對web應用程序執行漏洞評估分析。

新攻擊方式和新漏洞層出不窮。新的安全工具也一直在開發中，例如近日在歐洲黑帽大會上推出的Poet。在你的web應用程序登上下一個數據泄漏報告前，花點時間來加強web應用程序的安全性是非常有必要的。

最后但并非最不重要的一點，開啟審計功能。很多企業僅用審計功能以努力提高數據庫服務器的性能，如果性能是企業關注的主要問題的話，那么可以考慮使用數據庫活動監控解決方案來為企業提供審計和其他功能。關閉審計功能會加大調查數據泄漏原因的難度，并且會影響企業的合規。

做好數據庫的安全問題的保障工作，才能確保數據庫中數據信息的安全，希望大家通過上文的學習之后，做好數據庫安全加強工作，這在大家以后的工作中會是非常有用的。