Risk Based Security 2020年第三季度報告顯示，2020年1月到9月間約有360億數據記錄被盜。這一結果雖然令人吃驚，但也發出了需要切實加強數據庫安全措施的明確信息。

[[392453]]

數據庫安全措施與網站安全實踐略有不同。前者涉及物理措施、軟件解決方案，乃至員工安全教育。不過，保護站點免遭網絡罪犯利用潛在攻擊途徑入侵也同樣重要。

本文謹列出10個數據庫安全優秀實踐，幫助讀者加強敏感數據安全。

1. 部署物理數據庫安全措施

數據中心或自有服務器容易遭遇外部人甚或惡意內部人的物理攻擊。只要能夠接觸實體數據庫服務器，網絡罪犯就能盜取數據、損壞數據，甚至植入惡意軟件獲取遠程訪問權。如果缺乏額外的安全措施，我們就難以檢測此類攻擊，因為它們能夠繞過數字安全規程。

在選擇Web托管服務時，一定要確保服務提供商一貫重視安全，過往安全記錄良好。同時，最好避免選擇免費的托管服務，因為可能不安全。

如果自行保管服務器，強烈建議增配攝像頭、鎖具等物理安全措施，并配備安保人員。此外，還應保留全部物理服務器訪問記錄，并只允許特定人員接觸物理服務器，從而緩解惡意行為風險。

2. 隔離數據庫服務器

需要采用專門的安全措施來保護數據庫免遭網絡攻擊。而將數據與網站放到同一臺服務器上，則是將數據暴露給了針對網站的各種攻擊方法。

假設你運營著一家在線商店，并且把你的網站、非敏感數據和敏感數據都放在同一臺服務器上。沒錯，你確實可以利用托管服務供應商提供的安全措施，以及電子商務平臺的安全功能來防止網絡攻擊和欺詐。但是，你的敏感數據就難以抵御通過網站和在線商店平臺實施的攻擊了。無論是網站還是在線商店平臺，網絡罪犯但凡能攻破其中一個，就可以訪問你的數據庫。

想要緩解這些安全風險，那就將你的數據庫服務器與其他一切隔離開來。此外，采用實時安全信息與事件管理(SIEM)，這是專門用于數據庫安全的，可供企業在遭遇入侵時立即采取行動。

3. 設置HTTPS代理服務器

從工作站發出的請求在訪問數據庫服務器之前會經過代理服務器的評估。這樣一來，代理服務器就像守門員一樣攔住非授權請求。

最常見的代理服務器基于HTTP。然而，如果你要處理敏感信息，例如密碼、支付信息或個人信息，那就設置HTTPS服務器。這樣穿過代理服務器的數據就也是加密的，能夠多一層安全。

4. 避免使用默認網絡端口

TCP和UDP協議用在服務器間傳輸數據的時候。設置這些協議時往往會自動使用默認網絡端口。由于太常見了，暴力破解攻擊就經常使用默認端口。

如果你不使用默認端口，盯上你服務器的網絡攻擊者就必須嘗試不同端口號，不斷試錯。這額外的工作量很是勸退，攻擊者不會再在你身上耗時間。

不過，分配新端口的時候，記得查一下互聯網號碼分配機構(IANA)的端口注冊表，確保新端口沒被其他服務占用。

5. 使用實時數據庫監測

主動掃描數據庫檢查入侵嘗試可以強化安全，也有助于應對潛在攻擊。

可以使用Tripwire的實時文件完整性監測(FIM)記錄數據庫服務器上所有行為，發現異常及時報警。此外，還可以設置升級規程應對潛在攻擊，讓敏感數據更加安全。

另一個值得考慮的方面是定期審計數據庫安全并組織網絡安全滲透測試。這些措施有助于發現潛在安全漏洞，在數據泄露發生之前打上補丁。

6. 采用數據庫防火墻和Web應用防火墻

防火墻是攔住惡意訪問的第一道防線。除網站防護措施之外，還應安裝防火墻來保護數據庫免遭不同攻擊方式侵害。

有三種類型的防火墻常用于保護網絡安全：

• 包過濾防火墻
• 有狀態包檢測(SPI)
• 代理服務器防火墻

防火墻的配置要確保正確覆蓋每個安全漏洞。另外，保持更新防火墻也是必需的，因為這樣才能保護站點和數據庫能抵御新型網絡攻擊方法。

7. 部署數據加密協議

數據加密不僅能保護你的商業秘密，也是傳輸和存儲敏感用戶信息的重要防護措施。

設置數據加密協議可以降低數據泄露風險。換句話說，即使網絡罪犯拿到了你的數據，這些信息也是安全的。

8. 創建定期數據庫備份

創建網站備份算是常見操作了，但定期創建數據庫備份也很重要。這么做可以緩解因惡意攻擊或數據損壞而造成的敏感信息丟失風險。

在Windows和Linux等常見服務器上創建數據庫備份的方法可在官網上找到。此外，要想進一步強化安全，最好在單獨的服務器上加密并存儲備份。這樣，即使主數據庫服務器被黑或無法訪問，你的數據也可以恢復。

9. 保持應用更新

研究顯示，90%的應用都包含過時軟件組件。而且，對WordPress插件的分析揭示，17,383個插件兩年來都沒更新過，13,655個插件三年沒更新過，3,990個插件甚至長達七年未更新。你用來管理數據庫甚至運營網站的軟件就是這些過時組件的集合，其間蘊含的巨大安全風險可想而知。

雖然你應該只用經驗證的可信數據庫管理軟件，但也應該保持更新，在有可用補丁時及時安裝。同樣的更新原則也適用于小部件、插件和第三方應用，并且要加上一條建議：不要使用那些沒接收定期更新的。完全離它們遠遠的。

10. 采用強用戶身份驗證

Verizon最新的研究揭示，80%的數據泄露事件由被盜密碼導致。這表明單靠密碼可不是什么良好的安全措施，因為不會設置強密碼的人太多了。

想要對抗密碼設置中的人為失誤問題，以及給你的數據庫安全增添另一層防護，不妨設立多因子身份驗證過程。(該方法并不完美。)這樣即使登錄憑證被盜，網絡罪犯也很難繞過這一安全規程。

此外，僅允許經驗證的IP地址訪問數據庫也可以進一步緩解潛在數據泄露風險。盡管IP地址可被復制或屏蔽，但這好歹也要求攻擊者的技術水平要達到一定門檻，而且也更費事了不是?

強化數據庫安全，緩解數據泄露風險

保護數據庫免受惡意攻擊侵害是一項系統性工作，囊括從服務器物理位置到人為失誤風險緩解等諸多方面。

即使數據泄露越來越頻繁，維護健康的安全規程也能降低遭攻擊的風險，幫助避免真被攻擊者盜得數據。