以技術為中心的時代，信息至關重要。數據庫及其安全性已成為每個企業極具挑戰性的任務。數據庫可以包含關鍵信息，例如個人身份、信用卡信息、金融交易以及應用程序密碼，這些都是對黑客和網絡犯罪分子有價值的信息。根據金雅拓的數據泄露水平指數，2018年上半年大約有35億條記錄違規，比2017年上半年增加了72%。數據泄露的后果對企業來說代價是非常昂貴的。即使是一個小漏洞或錯誤，也可能讓攻擊者掌握耗資數百萬的數據庫系統。為了防止這種事情的發生，企業應該防患于未然，考慮一切有可能破壞數據庫的因素，防止有價值的信息受到損害。

[[269491]]

復雜的后端系統中，企業數據庫中的關鍵信息極易受到網絡威脅。以下方法可以幫助企業在很大程度上保護數據庫：

• 隔離Web服務器和數據庫
• 設置Web應用程序防火墻(WAF)和反惡意軟件解決方案
• 實施數據加密和備份
• 用戶帳戶管理
• 定期更新和實施補丁

1、隔離Web服務器和數據庫

在同一臺機器上部署應用程序和數據庫會導致攻擊者更容易進入系統，因為只需破解一臺服務器的管理員帳戶就能訪問整個數據庫，這是一個巨大的安全漏洞。

為了保護企業的敏感信息不受未經授權的訪問，IT管理員應該將服務器(應用程序和數據庫)保存在不同的物理機上。應用程序的高性能主機服務器可能最好，但為了存儲客戶的有價值數據，企業必須選擇單獨的數據庫服務器，該服務器需支持高級安全特性(如多因素身份驗證)和適當的訪問權限。

2、設置Web應用程序防火墻(WAF)和反惡意軟件解決方案

設置防火墻是阻止攻擊者的另一種有效方法。防火墻通過拒絕未經授權的訪問來確保數據庫安全，但如果需要，它可以監控公司員工訪問服務器的行為。例如，SQL注入是攻擊者為入侵系統而進行的最常見的攻擊，但這可以通過適當的防火墻配置來檢查并防范。

一旦企業建立了數據庫，就應該確保計算機被防火墻完全保護，防火墻能夠過濾任何出站連接和任何想要訪問有用信息的請求(除了必要的請求)。此外，企業應該確保數據庫服務器也可以通過安裝反惡意軟件和反勒索軟件來防范惡意攻擊，或者只允許來自可信源或特定web服務器的訪問，定期檢查數據庫服務器上的防火墻規則，并定期通過網絡掃描或允許ISP掃描進行測試。另外，應該關閉數據庫服務器上從未使用或不必要的服務。

3、實施數據加密和備份

意外時刻都會發生，企業應該時刻準備好額外的保護層，以防止數據受到損害。這個額外的保護層可以通過加密實現，這樣攻擊者即使可以訪問數據庫，也需要再去破解密碼。

第一階段的加密需要使用應用程序服務器或數據庫服務器上的私鑰來實現。因此，即使攻擊者獲得對數據庫的訪問權限，他們也無法輕松解密或讀取數據。第二階段需要對傳輸中的數據進行加密，這意味著數據在通過網絡從應用服務器移動到數據庫服務器之前就被加密，反之亦然。

4、用戶帳戶管理

除了犯罪分子，企業的員工也可能會對有價值的數據構成重大威脅。很多具有不同角色的用戶可能經常訪問數據庫，他們可能沒有惡意，但仍有可能大規模泄露機密信息。這就是為什么管理用戶帳戶變得至關重要的原因。

企業應該盡量使訪問數據庫的用戶最少。只有在需要時，才應向授權用戶提供使用一次性密碼(OTP)技術訪問數據庫的權限，以避免用戶在其他時間進行任何未經授權的訪問。應強制使用強密碼來訪問數據庫，數據庫憑據應以哈希加鹽法存儲，這樣它們就不可讀了。另外，應定期維護活動日志，以監控與查詢和請求相關的所有活動。如果企業遇到數據泄露，審計和日志記錄可以幫助調查可疑活動。

5、定期更新和實施補丁

許多后端系統在其應用程序中使用第三方api、應用程序和插件，這可能是網絡罪犯的目標。為了解決這個問題，企業應該建立健全的應用更新系統，以避免網絡罪犯利用任何已知的漏洞對系統進行破壞。

保持所有第三方軟件、api和插件更新到最新版本，這些更新應該定期進行或者在API和插件供應商發布新補丁時進行，這確保了最新的版本能夠用最新的網絡威脅免疫系統。不僅如此，應用程序中不使用的插件、api或服務應該完全從系統中刪除或停用。

關于數據庫保護的其他建議

無論數據庫服務器受到多大程度的保護，攻擊者總有可能滲入系統，所以要經常備份數據庫的加密副本，這就保證了即使數據庫被破壞時也可以恢復數據。

設置數據庫代理也可能是一個很好的解決方案，因為它位于應用程序和數據庫之間。它能解析查詢，只接受來自應用程序服務器的請求，并阻止任何其他未通過可信源生成的請求。

數據庫安全對企業來說至關重要，企業有義務保護客戶的數據安全，以免造成任何法律后果并失去客戶信任。以上方法，不僅有助于保護數據庫，降低數據泄露處理不當的風險，而且還可確保企業做好面對不可控攻擊的準備。