数据库加固是一项纷繁复杂的工作,不但需要解决数据库存在的安全问题,更要针对每种安全问题,多种安全加固方案,权衡利弊,保证业务系统的正常和稳定。

数据库加固可防范重要数据和公民信息泄露

1、数据库漏洞加固
数据库漏洞是数据库加固的核心,也是各种检查也渗透测试的关键点。如何既消除数据库漏洞,又保证系统稳定则是摆在所有人面前的难题。
(1) 数据库版本升级加固办法
通过数据库漏洞扫描工具对数据库进行检测后,会通过识别数据库组件、版本、补丁号等关键信息过滤出数据库存在的安全漏洞列表,形成《数据库安全检测报告》,针对数据库存在的漏洞,会提供每一个漏洞的补丁链接。用户可以选择通过下载数据库补丁升级,解决存在的数据库漏洞。
(2) 第三方工具加固办法
对于比较紧急的情况,不建议通过升级数据库漏洞,解决安全问题。建议采用有虚拟补丁功能的数据库防火墙产品,以串联方式部署于数据库之前。

2、 数据库弱口令加固办法
(1) 修改弱口令加固办法
弱口令的加固最直接的办法就是把弱口令修改成强口令。直接修改数据库账号的密码并不复杂,复杂的是衍生问题。如果同时有多个业务系统使用同一数据库账号,会要求多个业务系统一起修改访问数据库的密码。过程中可能会出现遗忘而导致业务中断等问题。
(2) 第三方工具加固办法
密码桥是用来做数据库和应用系统密码映射的软件,串联在应用和数据库之间。应用使用密码访问数据库,密码桥会通过改登陆包的方式把应用的错误密码映射成数据库的正确密码,帮助应用连上数据库。

3、数据库身份认证加固办法
(1) 提高数据库自身身份认证能力
数据库身份认证的加固需要按照不同的情况进行加固。如果是数据库缺乏数据库身份认证能力,需要通过升级到有数据库身份认证功能的数据库版本。如果只是数据库身份验证功能未开启,只需要通过调整参数开启数据库身份认证功能即可。
(2) 第三方工具加固办法
如果数据库升级遇到困难,但数据库又缺乏身份认证能力。也可以退而求其次利用数据库防火墙的ip/mac绑定,锁定允许访问数据库的固定机器,在一定程度上弥补了缺乏数据库身份验证的问题。

4、数据库网络安全加固办法
(1) 提高数据库自身网络加密功能力
数据库网络安全加固需要按照不同的情况进行加固。如果是缺乏数据库网络加密功能力,需要通过升级到有网络加密功能的数据库版本。如果只是数据库网络加密功能未开启,只需要通过调整参数开启网络加密功能即可。
(2) 第三方工具加固办法
网络加密的目标是防止中间人攻击。退而求其次利用数据库防火墙的ip/mac绑定,锁定允许访问数据库的固定机器,在一定程度上弥补了网络明文引起的安全威胁。

5、数据库审计和日志安全加固办法
(1) 开启数据库审计和日志加固办法
数据库审计和日志有助于帮助客户对攻击进行溯源。所以加固的主要方式是开启审计和日志,并设置严格的策略。
(2) 第三方工具加固办法
审计日志开启会对数据库性能造成影响,除了开启数据库自身的审计和日志外。还可以通过第三方数据库审计工具完成数据库审计日志的安全加固任务。

6、数据库权限配置安全加固办法
(1) 数据库自身权限配置加固办法
基于数据库账号/角色权限配置清单和客户数据库管理员进行沟通。按照最小化权限原则削减数据库账号的权限。

(2) 第三方工具加固办法
在数据库之外在做一层数据库权限设置。这样既避免了数据库自身权限的混乱,又解决了数据库权限不符合最小化原则的问题。

7、数据库安全策略加固办法
在不影响业务的前提下,通过对数据库安全策略配置,可以完成数据库安全策略加固。

8、数据库后门/木马清理办法
发现疑似数据库后门/木马的触发器或存储过程,在DBA确认确实和业务无关后,需要进行清理和追踪。