数据库加固建议和方案.docx

数据库加固是一项纷繁复杂的工作，不但需要解决数据库存在的平安问题，更要针 对每种平安问题，多种平安加固方案，权衡利弊，保证业务系统的正常和稳定。本 文分别针对数据库漏洞、数据库弱口令、数据库身份认证、数据库网络平安、数据 库审计和日志平安、数据库权限配置、数据库平安策略的数据后门木马等问题，提 出加固建议和方案。 01数据库漏洞加固数据库漏洞是数据库平安加固的核心，也是各种检查也渗透测试的关键点。如何既 消除数据库漏洞，又保证系统稳定那么是摆在所有人面前的难题。 1、数据库版本升级加固方法通过数据库漏洞扫描工具对数据库进行检测后，会通过识别数据库组件、版本、补 丁号等关键信息过滤出数据库存在的平安漏洞列表，形成《数据库平安检测报告》。 报告中，针对数据库存在的漏洞，会提供每一个漏洞的补丁链接。用户可以选择通 过下载数据库补丁升级，解决存在的数据库漏洞。但补丁升级的方式需要做一系列 的应用稳定性测试，防止数据库升级后，应用出现不稳定或无法使用的问题。一般 一次完整的应用稳定性测试也需要比拟长的时间。这种比拟适合在有稳定计划按部 就班的情况下使用。 2、第三方工具加 方法 对于比拟紧急的情况，不建议通过升级数据库漏洞，解决平安问题。建议采用有虚 拟补丁功能的数据库防火墙产品，以串联方式部署于数据库之前。虚拟补丁会帮助 数据库阻止针对数据库的漏洞发现和漏洞渗透攻击。杜绝攻击者利用漏洞对数据库 发起的直接攻击。 02数据库弱口令加固方法1、修改弱口令加固方法 弱口令的加固最直接的方法就是把弱口令修改成强口令。直接修改数据库账号的密 码并不复杂，复杂的是衍生问题。如果同时有多个业务系统使用同一数据库账号， 会要求多个业务系统一起修改访问数据库的密码。过程中可能会出现遗忘而导致业 务中断等问题。 2、第三方工具加固方法弱口令问题除了直接修改弱口令密码外，也可以使用带有数据库密码桥功能的第三 方软件解决弱密码问题。密码桥是用来做数据库和应用系统密码映射的软件，串联 在应用和数据库之间。应用使用密码访问数据库，密码桥会通过改登陆包的方式把 应用的错误密码映射成数据库的正确密码，帮助应用连上数据库。 数据库修改密码后，不需要调整所有应用访问数据库的访问密码，只需要修改中间 密码桥的映射表即可。使用密码桥可以有效的降低修改弱口令带来的潜在业务宕机 风险。 03数据库身份认证加固方法1、提高数据库自身身份认证能力 数据库身份认证的加固需要按照不同的情况进行加固。如果是数据库缺乏数据库身 份认证能力，需要通过升级到有数据库身份认证功能的数据库版本。如果只是数据 库身份验证功能未开启，只需要通过调整参数开启数据库身份认证功能即可。 2、第三方工具加固方法如果数据库升级遇到困难，但数据库又缺乏身份认证能力。也可以退而求其次利用 数据库防火墙的ip/mac绑定，锁定允许访问数据库的固定机器，在一定程度上弥 补了缺乏数据库身份验证的问题。 04数据库网络平安加固方法1.提高数据库自身网络加密功能力 数据库网络平安加固需要按照不同的情况进行加固。如果是缺乏数据库网络加密功 能力，需要通过升级到有网络加密功能的数据库版本。如果只是数据库网络加密功 能未开启，只需要通过调整参数开启网络加密功能即可。 但请注意数据库网络通讯协议加密后会导致很多数据库监控、审计软件无法正常工 作。 2、第三方工具加固方法网络加密的目标是防止中间人攻击。退而求其次利用数据库防火墙的ip/mac绑定， 锁定允许访问数据库的固定机器，在一定程度上弥补了网络明文引起的平安威胁。 05数据库审计和日志平安加固方法.开启数据库审计和日志加固方法 数据库审计和日志有助于帮助客户对攻击进行溯源。所以加固的主要方式是开启审计和日志，并设置严格的策略。 2、第三方工具加固方法审计日志开启会对数据库性能造成影响，除了开启数据库自身的审计和日志外。还 可以通过第三方数据库审计工具完成数据库审计日志的平安加固任务。 06数据库权限配置平安加固方法1、数据库自身权限配置加固方法 基于数据库账号/角色权限配置清单和客户数据库管理员进行沟通。按照最小化权限 原那么削减数据库账号的权限。 1 .第三方工具加固方法由于数据库账号和角色之间关系错综复杂，很容易越调越乱，甚至产生新的权限问 题。也可以通过有细粒度控制能力的数据库防火墙产品。在数据库之外在做一层数 据库权限设置。这样既防止了数据库自身权限的混乱，又解决了数据库权限不符合 最小化原那么的问题。 07数据库平安策略加固方法在不影响业务的前提下，通过对数据库平安策略配置，可以完成数据库平安策略加 固。 08数据库后门/木马清理方法发现疑似数据库后门/木马的触发器或存储过程，在DBA确认确实和业务无关后， 需要进行清理和追踪。 数据库平安加固是数据平安保障中最基础的一环，数据以静态存储在数据库中，但 数据使用时，要进入到业务系统，流转到第三方，要被共享、挖掘和分析，数据的 平安更多的是使用中或者流转中的平安问题。数据库平安设计应围绕生产实际业务 应用平安需求为基础。防范重要数据和公民信息泄露专项工作建设，除了针对数据 库进行平安加固，还需要通过一套由内向外的技术防范硬措施来实现核心资产数据 加固工作。安华金和依托多年数据平安的技术积累，提供从数据资产梳理、数据库 平安检测、数据库平安加固的整体解决方案，助力各政府单位和企业组织保质保量 按时做好数据资产清理和数据库平安加固工作。