某程序員“因個人精神和生活等方面原因”，通過VPN登入公司內(nèi)網(wǎng)，把公司生產(chǎn)環(huán)境的數(shù)據(jù)庫刪了，直接導(dǎo)致上市公司“微盟”（2013.HK）市值蒸發(fā)了10億。

我們今天的話題圍繞數(shù)據(jù)庫安全問題來聊一聊，企業(yè)如何有效的進(jìn)行數(shù)據(jù)庫安全維護(hù)？

企業(yè)應(yīng)該加強(qiáng)其數(shù)據(jù)庫安全做法。為了更好地抵御現(xiàn)代復(fù)雜威脅，應(yīng)該遵循上述數(shù)據(jù)庫安全優(yōu)秀做法：執(zhí)行最小權(quán)限原則、定期審查賬戶訪問權(quán)限、監(jiān)控數(shù)據(jù)庫活動和加密敏感數(shù)據(jù)、完善的數(shù)據(jù)庫備份機(jī)制。

1. 最小權(quán)限原則，防止再次出現(xiàn)“刪庫跑路”事件

最小權(quán)限原則確保僅為用戶提供完成其工作所需的最小權(quán)限。這個理論目標(biāo)與企業(yè)數(shù)據(jù)庫的現(xiàn)實(shí)情況之間的差距是很重要的問題。為了對此進(jìn)行評估，企業(yè)應(yīng)該問自己幾個問題，其中包括：

· 開發(fā)人員是否擁有對生產(chǎn)數(shù)據(jù)庫的完全訪問權(quán)限?

· 系統(tǒng)工程師是否可以訪問他們所管理系統(tǒng)中的數(shù)據(jù)庫?

· 數(shù)據(jù)庫管理員是否具有對所有數(shù)據(jù)庫的完全訪問權(quán)限?還是僅對其職責(zé)范圍的數(shù)據(jù)庫具有訪問權(quán)限?盡可能限制訪問權(quán)限是防范內(nèi)部威脅的重要方法。

2. 定期審核訪問權(quán)限

大家都知道，特權(quán)提升實(shí)際上會影響每個技術(shù)企業(yè)。隨著技術(shù)人員和非技術(shù)人員在工作角色和項(xiàng)目分配之間轉(zhuǎn)換，每次職責(zé)更改時，他們都會積累新的權(quán)限。由于缺少權(quán)限會阻礙工作，因此他們會迅速尋求并批準(zhǔn)新的權(quán)限。但是，舊的和不必要的權(quán)限可能會持續(xù)數(shù)月或數(shù)年，因?yàn)檫@不會對員工的日常工作造成操作問題。但其實(shí)這會帶來嚴(yán)重影響，如果用戶變成惡意內(nèi)部人員或淪為賬戶被盜的受害者，這些權(quán)限會幫助攻擊者擴(kuò)大攻擊范圍。

企業(yè)應(yīng)定期對數(shù)據(jù)庫訪問權(quán)限進(jìn)行定期審查，以確保執(zhí)行最小特權(quán)原則。請?zhí)貏e注意直接訪問數(shù)據(jù)庫的用戶，因?yàn)檫@種訪問可能會繞過應(yīng)用程序級安全控制。

3. 監(jiān)控數(shù)據(jù)庫活動

數(shù)據(jù)庫審核曾經(jīng)會帶來巨大的性能負(fù)擔(dān)，這導(dǎo)致企業(yè)為了運(yùn)營效率而犧牲日志記錄。幸運(yùn)的是，那些日子已經(jīng)過去了，因?yàn)楝F(xiàn)在所有主要的數(shù)據(jù)庫平臺提供商都提供可擴(kuò)展的監(jiān)視和日志記錄功能。

企業(yè)應(yīng)確保已在其系統(tǒng)上啟用數(shù)據(jù)庫監(jiān)視，并將日志發(fā)送到安全的存儲庫。另外，請確保實(shí)施基于行為的監(jiān)視規(guī)則，以監(jiān)視異常的用戶活動，特別是具有管理訪問權(quán)限的用戶。

4. 加密敏感數(shù)據(jù)

加密無疑是數(shù)據(jù)庫安全最佳做法。企業(yè)應(yīng)遵循以下三種方式利用強(qiáng)加密來保護(hù)其數(shù)據(jù)庫：

   1. 要求所有數(shù)據(jù)庫使用傳輸層安全加密來保護(hù)傳輸中的數(shù)據(jù);

   2. 加密包含數(shù)據(jù)存儲的磁盤，以防止其丟失、被盜或處理不當(dāng);

   3. 用列級加密功能來保護(hù)你最敏感的數(shù)據(jù)以防被監(jiān)聽

5. 完善的數(shù)據(jù)備份機(jī)制

   做好全量備份、增量備份、延遲備份、多機(jī)房，異地備份

關(guān)于我們：

Infocode藍(lán)暢信息技術(shù)有限公司成功為多家世界財富500強(qiáng)企業(yè)以及其他著名品牌提供優(yōu)質(zhì)服務(wù)，是您靠譜的互聯(lián)網(wǎng)開發(fā)供應(yīng)商。

服務(wù)客戶遍及北京、上海、杭州、深圳、廣州、天津、青島、南京、寧波、蘇州、無錫、廈門、重慶、西安等大中型城市及地區(qū)    為您提供：H5開發(fā)，小程序開發(fā)，H5外包，微信開發(fā)，H5商城開發(fā)，小程序商城開發(fā)，網(wǎng)站開發(fā)外包，H5游戲開發(fā)，小程序開發(fā)外包，小程序設(shè)計、APP開發(fā)外包，UI設(shè)計，SEO優(yōu)化，SEO外包，視頻后期制作等優(yōu)質(zhì)服務(wù)