数据库安全的防护手段

Xsecure产品系列实现对数据库的全方位防护 ，需要覆盖数据库的事前、事中、事后安全；覆盖数据库应用安全、维护安全、使用安全和存储安全；是最全面的数据库防泄露产品。 数据库漏洞扫描系统Xsecure-DBScan ，是一款帮助用户对当前的数据库系统进行自动化安全评估的专业软件，能有效暴露当前数据库系统的安全问题，提供对数据库的安全状况进行持续化监控，帮助用户保持数据库的安全健康状态。

发现外部黑客攻击漏洞，防止外部攻击：实现非授权的从外到内的检测；模拟黑客使用的漏洞发现技术，在没有授权的情况下，对目标数据库的安全性作深入的探测分析；收集外部人员可以利用的数据库漏洞的详细信息。分析内部不安全配置，防止越权访问：通过只读账户，实现由内到外的检测；提供现有数据的漏洞透视图和数据库配置安全评估；避免内外部的非授权访问。

监控数据库安全状况，防止数据库安全状况恶化：对于数据库建立安全基线，对数据库进行定期扫描，对所有安全状况发生的变化进行报告和分析。 *** 作系统中的对象一般情况下是文件，而数据库支持的应用要求更为精细。通常比较完整的数据库对数据安全性采取以下措施：

（1）将数据库中需要保护的部分与其他部分相隔。

（2）采用授权规则，如账户、口令和权限控制等访问控制方法。

（3）对数据进行加密后存储于数据库。 由数据库管理系统提供一套方法，可及时发现故障和修复故障，从而防止数据被破坏。数据库系统能尽快恢复数据库系统运行时出现的故障，可能是物理上或是逻辑上的错误。比如对系统的误 *** 作造成的数据错误等。

1.数据脱敏

数据脱敏是保证数据安全的最基本的手段，脱敏方法有很多，最常用的就是使用可逆加密算法，对入仓每一个敏感字段都需要加密。比如手机号，邮箱，身份z号，yhk号等信息

2.数据权限控制

需要开发一套完善的数据权限控制体系，最好是能做到字段级别，有些表无关人员是不需要查询的，所以不需要任何权限，有些表部分人需要查询，除数据工程师外，其他人均需要通过OA流程进行权限审批，需要查看哪些表的哪些字段，为什么需要这个权限等信息都需要审批存档。

3.程序检查

有些字段明显是敏感数据，比如身份z号，手机号等信息，但是业务库并没有加密，而且从字段名来看，也很难看出是敏感信息，所以抽取到数据仓库后需要使用程序去统一检测是否有敏感数据，然后根据检测结果让对应负责人去确认是否真的是敏感字段，是否需要加密等。

4.流程化 *** 作

流程化主要是体现在公司内部取数或者外部项目数据同步，取数的时候如果数据量很大或者包含了敏感信息，是需要提OA 审批流程的，让大家知道谁要取这些数据，取这些数据的意义在哪，出了问题可以回溯，快速定位到责任人。开发外部项目的时候，不同公司之间的数据同步，是需要由甲方出具同意书的，否则的话风险太大。

5.敏感SQL实时审查及 *** 作日志分析

及时发现敏感sql的执行并询问责任人，事后分析 *** 作日志，查出有问题的 *** 作。

6.部门重视数据安全

把数据安全当做一项KPI去考核，让大家积极的参与到数据安全管理当中去。

方法一、数据库数据加密

数据加密可以有效防止数据库信息失密性的有效手段。通常加密的方法有替换、置换、混合加密等。虽然通过密钥的保护是数据库加密技术的重要手段，但如果采用同种的密钥来管理所有数据的话，对于一些不法用户可以采用暴力破解的方法进行攻击。

但通过不同版本的密钥对不同的数据信息进行加密处理的话，可以大大提高数据库数据的安全强度。这种方式主要的表现形式是在解密时必须对应匹配的密钥版本，加密时就尽量的挑选最新技术的版本。

方法二、强制存取控制

为了保证数据库系统的安全性，通常采取的是强制存取检测方式，它是保证数据库系统安全的重要的一环。强制存取控制是通过对每一个数据进行严格的分配不同的密级，例如政府，信息部门。在强制存取控制中，DBMS所管理的全部实体被分为主体和客体两大类。主体是系统中的活动实体，它不仅包括DBMS 被管理的实际用户，也包括代表用户的各进程。

客体是系统中的被动实体，是受主体 *** 纵的，包括文件、基表、索引、视图等等。对于主体和客体，DBMS 为它们每个实例(值)指派一个敏感度标记。主客体各自被赋予相应的安全级，主体的安全级反映主体的可信度，而客体的安全级反映客体所含信息的敏感程度。对于病毒和恶意软件的攻击可以通过强制存取控制策略进行防范。但强制存取控制并不能从根本上避免攻击的问题，但可以有从较高安全性级别程序向较低安全性级别程序进行信息传递。

方法三、审计日志

审计是将用户 *** 作数据库的所有记录存储在审计日志(Audit Log)中，它对将来出现问题时可以方便调查和分析有重要的作用。对于系统出现问题，可以很快得找出非法存取数据的时间、内容以及相关的人。从软件工程的角度上看，目前通过存取控制、数据加密的方式对数据进行保护是不够的。因此，作为重要的补充手段，审计方式是安全的数据库系统不可缺少的一部分，也是数据库系统的最后一道重要的安全防线。

---