數據庫安全漏洞可謂層出不窮，各公司的數據庫遭受損害的“好戲”仍在不斷上演。數據庫的安全問題未必是由數據庫本身引起的，來自其它網絡角落的漏洞也會給數據庫帶來風險，如終端和第三方供應商。本文將總結這些風險和威脅，并提供規避風險的新技巧和見解。

端點受害影響數據庫的安全性

雖然許多數據庫安全專家擔心內部威脅和特權訪問，但如果一個端點感染了惡意軟件，就會對敏感數據的存儲帶來威脅。看似平常的端點有可能成為黑客入侵敏感數據庫的入口。黑客可依賴簡單的社交工程在端點上建立立足點，從而為進一步的數據庫攻擊找到出路。

例如，一位粗心的員工訪問了一個不該訪問的網站或收到了一個看似來自某個朋友的郵件，單擊了其中的一個鏈接，然后該鏈接又引導他下載了一個惡意的惡意程序或間諜軟件。

此后，惡意軟件包分幾個不同的階段被安裝到電腦上，并且是從Web的多個位置組裝的。員工先下載了某個并不了解的惡意程序組件，然后此組件又通過訪問Web，進一步從其它服務器下載其它不同組件，重新組合，甚至在受害者電腦中重新編譯，最終形成極危險的惡意軟件。危險的惡意軟件可以先從網絡內部進行探測，查找易受攻擊的數據庫和信息存儲。

為對付這種攻擊，數據庫活動的行為分析在檢測端點的異常行為方面更有效，因為一般情況下這種端點訪問數據庫信息的數量是有限的。

但是，今天的黑客都有一套自動化的方法來慢慢地透露信息，所以其行為與普通用戶非常類似。

當心第三方帶來的數據損害

云計算似乎無所不能，并日益流行，而作為外包服務的用戶卻應當對安全感到憂心忡忡。如果一家公司要與另一家在線服務供應商進行貿易，它應該檢查對方的安全。

許多公司對于將認證交給云仍感到不踏實，除非公司對于供應商及其安全性感到非常滿意。不幸的是，關于供應商是否安全，并沒有什么權威性或學術性的標準，所以公司需要自己努力。

雖然要求處理信用卡和金融數據的公司都要遵循支付卡行業數據安全標準（PCI DSS），但我們卻沒有一套保護個人身份信息的標準。即使是使用與PCI相同標準的公司也未必能保證真正的安全。

如何應對這種風險？關鍵的一點是，維持客戶數據的公司應當使用WEB應用防火墻，并使用安全方法來開發軟件，對于關鍵服務器還要堅決使用白名單技術。

此外，處理信用卡數據和個人信息的公司還應當限制能夠接觸數據的服務器和雇員的數量。通過將關鍵信息存儲到自己的服務器上，而不是將其交給第三方，公司就可以控制數據的保護。這里涉及的是Web2.0模式和整個云模式的問題，也許最佳的做法就是要把“好鋼用在刀刃上”，要減少控制范圍。

我們應該學到什么？

為什么數據庫的安全損害常常一波未平，一波又起？原因很多，沒有打補丁、啟用不必要的數據庫功能、失效的配置管理、緩沖區溢出、特權升級、錯誤的加密策略、選擇了錯誤的第三方廠商等等。根據近年來的案例，我在這里總結幾個典型的數據庫安全教訓。

首先，企業需要努力理解其數據庫的存儲位置，其中也包括測試數據庫，并且理解數據庫的配置情況。必須確保不能隨便地把最機密的信息連到網絡上。

其次，要不遺余力地監視服務器和數據庫，這樣做有助于及早向管理員發出警告，并在數據庫遭到非法訪問時能夠提供更好的證據。

第三，檢查所使用的加密方法是否過于陳舊，特別是存儲在數據庫中的用戶口令是否使用了強加密，否則在數據庫遭到非法訪問后，用戶口令將被輕易破解。

第四，任何單位必須審查處理其數據的其它單位，看其如何處理數據庫和敏感信息。千萬不能把機密數據隨意交給并不了解其安全狀況的供應商。

第五，任何單位都必須徹底清除共享口令，關閉前任雇員的賬戶，并監視現有賬戶的異常行為。

當然，這些建議并不全面，要想真正解決數據庫的安全問題，關鍵是建立、實施一套健全的安全保障體系，特別是采取綜合治理、全面設防的方法。下面談的問題就與此有關。

改善安全：將數據庫的活動監視（DAM）信息納入到安全信息和事件管理(SIEM)中

從過去上看，數據庫活動監視（DAM）和安全信息及事件管理（SIEM）技術是分開工作的。但由于安全技術不斷改進,各種威脅不斷變化，這兩項技術之間的城墻開始消除。

為完整地洞察數據庫活動及其周邊環境，任何單位都需要將其數據庫活動監視信息納入到一種安全信息及事件管理工具中。

如果一個客戶所做的事情只不過是監視一個數據庫，那么，很明顯，沒有必要大張旗鼓地使用SIEM（安全信息及事件管理）。但是多數公司關注的問題很多，不僅僅是數據庫。其實，將數據庫活動監視（DAM）與SIEM集成起來的最大好處是它提供的環境。

數據庫攻擊通常是更廣泛攻擊的一個方面。數據庫活動監視無法監視網絡通信、服務器配置、滲透企圖、用戶活動等諸多問題。而SIEM卻可以在這些廣泛的數據集中找到攻擊模式，當然，這需要對其進行配置，而數據庫信息就是一種數據源。

這種環境對于通過應用程序監視數據庫的訪問是相當重要的，顯然這要求應用程序要與數據存儲進行綁定。

DAM產品的常見問題是多數客戶并沒有能夠直接與數據庫對話的應用程序。雖然他們擁有某種應用程序服務器，這個服務器運行著能夠與數據庫對話的應用程序，而這種應用程序服務器一般擁有一個與數據庫的連接。通過此連接，傳輸所有的應用程序用戶請求。所以，這意味著應用程序也許可以看到某個用戶登錄進入，并請求了一些客戶清單，但就數據庫所理解的而言，用戶只不過是稱為“應用程序服務器”的東西。

將DAM信息與SIEM結合起來，有助于單位更容易地把某用戶在前端應用程序上的操作與由應用程序服務器直接發送給數據庫的查詢請求聯系起來。

單位調用應用程序日志，將應用程序日志發送給SIEM，將DAM日志也發送給SIEM，而SIEM將這兩者關聯起來。在同一時間點上，應用程序記錄了用戶“張三”做了什么操作，而后DAM記錄了某個用戶執行了一種查詢，查找了某類信息。所以SIEM可以將這兩者關聯起來，并得出結論認為“張三”做了什么操作。

將DAM整合到SIEM中的最大挑戰并非技術，因為DAM和SIEM的廠商們在過去的幾年不乏合作，其困難主要由內部矛盾引起。

在將DAM與SIEM整合起來時，需要記住的是，DAM一般屬于數據庫團隊，而SIEM屬于安全小組。必須看到，讓這兩個團隊協同工作要比集成數據更為困難。其中一個老生常談的問題就是性能與安全的矛盾。為了讓整合更為平滑，單位必須做出折衷。

為什么會有整合問題？最重要的原因在于不同的部門負責人擁有不同的動機。數據庫管理員管理著數據庫，其任務就是確保數據庫快速運行，不發生故障。那么，如果你需要將來自外部安全或審計組織的軟件加載到數據庫內存中，并要求它提供日志，這勢必會影響數據庫的性能和穩定性。此時，單位需要做出決策：要否要將其安裝到數據庫中呢？有沒有更好的數據庫安全方案？