数据库安全之内外兼顾
发布时间:2013-11-01   录入:启明星辰

摘要:“数据库内部安全”和“数据库外部安全”形成了数据库安全的体系结构。这个体系结构既包含数据库自身的安全机制,也包含第三方的安全机制。

 

当我们谈到“数据库安全”时,我们往往只会想到数据库用户(如Oracle的超级用户sys),以及这些用户拥有的系统权限(SYSDBA、SYSOPER、ALTER SYSTEM、CREATE TABLE等等)和对象权限(SELECT、INSERT、UPDATE、DELETE等)。没错,这些是数据库安全的范畴,但是仅仅依靠这些机制,能够保证数据库安全吗?答案当然是:不能!这些是数据库内部的安全,而数据库的安全同样需要来自外部的保证。也就是说,数据库的“内部安全”和“外部安全”形成了数据库的真正安全。

 

“数据库内部安全”和“数据库外部安全”形成了数据库安全的体系结构。这个体系结构既包含数据库自身的安全机制,也包含第三方的安全机制。该体系结构包括如下部分。

 

路由器:路由器用于连接内网和外网,从内网进入外网的数据要经过路由器,从外网进来的数据也要经过路由器,因此,路由器的安全十分重要。
 

 

WEB服务器:WEB服务器(应用服务器)的安全也尤为重要,因为它们直接连接数据库,一些非法用户通过攻击WEB服务器或者应用服务器获得数据库的信息。

 

主机:数据库所在的主机安全也很重要,一旦获得主机的控制权,黑客将轻易控制数据库。主机上也可以安装软件防火墙,此外,还可以采取其它措施(包括技术性的和非技术性的)来确保主机的安全。

 

监听器:客户端在访问数据库之前,要通过监听器进行连接,监听器有时候也会成为“泄密者”,因此,我们要经常研究和防范监听器的安全风险。

 

认证机制:在连接数据库时,需要对用户进行认证,可以使用数据库自身的认证机制,也可以使用操作系统认证和外部认证。外部认证机制有KERBEROS、RADIUS、SSL等。

 

加密:数据在网络的传输过程中,我们可以对数据进行加密,可以用RC4、DES、Triple-DES、AES等对网络传输的数据进行加密,这样的加密是网络层面的,并不是数据库层面。在数据库层面,我们可以对特定的表进行加密,也可以对整个表空间进行加密,此外,也可以对存储过程或者函数进行加密,Oracle提供了工具wrap来加密包括存储过程、函数、包等的PL/SQL源代码。数据字典也可以被加密。

 

Oracle应用:为了“掩盖”数据的真相,Oracle通过视图掩盖基表,通过虚拟私有数据库控制用户对特定数据的访问。Oracle Label Security也用来限制用户对数据的访问。谈到数据库安全时,也不能不谈到Oracle Database Vault,它存在一定的应用场景中,用于限制超级用户。

 

审计:审计是数据库安全最重要的一个环节之一,它对数据库的用户行为进行监控,除了Oracle自带的审计功能,我们也可以使用第三方的产品,如Guardium。Guardium除了具有审计的功能,还具有数据库防火墙的功能。

 

启明星辰公司数据库审计专家点评

 

此文对数据库安全进行了多方面的考虑,内容丰富,是非常好的科普文章。作者不仅从访问控制、认证、数据加密等角度阐述数据库自身安全,也考虑了应用服务器和外网等内容。数据库安全在国内已经有了很好的发展,相关产品除了国外的Oracle Database Vault、Guardium等产品,国内的启明星辰天玥、国都兴业慧眼等数据库安全产品也值得关注,国际知名咨询机构Frost & Sullivan对2012年中国数据库安全市场的分析报告显示,启明星辰天玥产品市场占有率排名第一。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号