統(tǒng)計(jì)發(fā)現(xiàn)，由于數(shù)據(jù)庫(kù)被攻擊或竊取造成的數(shù)據(jù)泄露時(shí)間占比最大，且造成的直接或間接的損失更為嚴(yán)重。近年來(lái)，無(wú)論從政策的驅(qū)動(dòng)，或是黑產(chǎn)的猖獗，各行業(yè)開(kāi)始逐漸關(guān)注數(shù)據(jù)庫(kù)安全的問(wèn)題。數(shù)據(jù)庫(kù)的安全防護(hù)在整個(gè)安全規(guī)劃中理應(yīng)作為重點(diǎn)。

我們常聽(tīng)到客戶提出這樣的問(wèn)題：我們現(xiàn)在要做數(shù)據(jù)庫(kù)的安全規(guī)劃，但不知道應(yīng)該怎么規(guī)劃，思路是什么？

一般來(lái)說(shuō)，我們通常按照安全威脅的事前、事中、事后的順序進(jìn)行相應(yīng)的安全部署：

事前安全檢測(cè)：使用專業(yè)的檢測(cè)工具對(duì)數(shù)據(jù)庫(kù)整體安全現(xiàn)狀進(jìn)行檢測(cè)和評(píng)估，暴露數(shù)據(jù)庫(kù)的各類問(wèn)題：如安全漏洞、弱口令、缺省口令、權(quán)限分配不當(dāng)?shù)�。在評(píng)估報(bào)告基礎(chǔ)上，針對(duì)不同的安全問(wèn)題調(diào)整相應(yīng)的安全策略。其中中、高危安全風(fēng)險(xiǎn)需要重點(diǎn)規(guī)劃，引入專業(yè)的安全防御機(jī)制。

事中安全防御：在安全威脅發(fā)生時(shí)，能夠進(jìn)行主動(dòng)防御。

1、在對(duì)SQ語(yǔ)句進(jìn)行精準(zhǔn)解析的前提下，實(shí)時(shí)阻斷會(huì)話，攔截威脅語(yǔ)句。

2、對(duì)于存儲(chǔ)層的明文數(shù)據(jù)，考慮按列加密處理，即使數(shù)據(jù)庫(kù)被整庫(kù)拿走，也無(wú)法破解密文數(shù)據(jù)。內(nèi)部高權(quán)限用戶同樣進(jìn)行權(quán)限分配，沒(méi)有權(quán)限的內(nèi)部人員同樣不能查看全部明文數(shù)據(jù)。

3、當(dāng)面臨敏感數(shù)據(jù)外發(fā)用于測(cè)試、開(kāi)發(fā)、分析、培訓(xùn)等環(huán)節(jié)時(shí)，引入專業(yè)的脫敏工具，對(duì)敏感數(shù)據(jù)脫敏處理后進(jìn)行外發(fā)。防止第三方外包人員的數(shù)據(jù)泄露

4、在運(yùn)維側(cè)引入統(tǒng)一安全的運(yùn)維管控平臺(tái)，對(duì)運(yùn)維側(cè)人員的數(shù)據(jù)庫(kù)運(yùn)維操作進(jìn)行事前審批、和事中管控，防止出現(xiàn)誤操作、高危操作等。

事后追蹤定責(zé)：

基于對(duì)全部數(shù)據(jù)庫(kù)訪問(wèn)行為的準(zhǔn)確解析及審計(jì)結(jié)果記錄，能夠在事后追責(zé)定責(zé)是提供有力的參考依據(jù)，準(zhǔn)確定位只應(yīng)用用戶及運(yùn)維用戶。