数据库加固是一项纷繁复杂的工作,不但需要解决数据库存在的安全问题,更要针对每种安全问题,多种安全加固方案,权衡利弊,保证业务系统的正常和稳定。
1. 数据库漏洞加固
数据库漏洞是数据库安全加固的核心,也是各种检查也渗透测试的关键点。如何既消除数据库漏洞,又保证系统稳定则是摆在所有人面前的难题。
(1) 数据库版本升级加固办法
通过数据库漏洞扫描工具对数据库进行检测后,会通过识别数据库组件、版本、补丁号等关键信息过滤出数据库存在的安全漏洞列表,形成《数据库安全检测报告》。报告中,针对数据库存在的漏洞,会提供每一个漏洞的补丁链接。用户可以选择通过下载数据库补丁升级,解决存在的数据库漏洞。但补丁升级的方式需要做一系列的应用稳定性测试,避免数据库升级后,应用出现不稳定或无法使用的问题。一般一次完整的应用稳定性测试也需要比较长的时间。这种比较适合在有稳定计划按部就班的情况下使用。
(2) 第三方工具加固办法
对于比较紧急的情况,不建议通过升级数据库漏洞,解决安全问题。建议采用有虚拟补丁功能的数据库防火墙产品,以串联方式部署于数据库之前。虚拟补丁会帮助数据库阻止针对数据库的漏洞发现和漏洞渗透攻击。杜绝攻击者利用漏洞对数据库发起的直接攻击。
2. 数据库弱口令加固办法
(1) 修改弱口令加固办法
弱口令的加固最直接的办法就是把弱口令修改成强口令。直接修改数据库账号的密码并不复杂,复杂的是衍生问题。如果同时有多个业务系统使用同一数据库账号,会要求多个业务系统一起修改访问数据库的密码。过程中可能会出现遗忘而导致业务中断等问题。
(2) 第三方工具加固办法
弱口令问题除了直接修改弱口令密码外,也可以使用带有数据库密码桥功能的第三方软件解决弱密码问题。密码桥是用来做数据库和应用系统密码映射的软件,串联在应用和数据库之间。应用使用密码访问数据库,密码桥会通过改登陆包的方式把应用的错误密码映射成数据库的正确密码,帮助应用连上数据库。
数据库修改密码后,不需要调整所有应用访问数据库的访问密码,只需要修改中间密码桥的映射表即可。使用密码桥可以有效的降低修改弱口令带来的潜在业务宕机风险。
3. 数据库身份认证加固办法
(1) 提高数据库自身身份认证能力
数据库身份认证的加固需要按照不同的情况进行加固。如果是数据库缺乏数据库身份认证能力,需要通过升级到有数据库身份认证功能的数据库版本。如果只是数据库身份验证功能未开启,只需要通过调整参数开启数据库身份认证功能即可。
(2) 第三方工具加固办法
如果数据库升级遇到困难,但数据库又缺乏身份认证能力。也可以退而求其次利用数据库防火墙的ip/mac绑定,锁定允许访问数据库的固定机器,在一定程度上弥补了缺乏数据库身份验证的问题。
4. 数据库网络安全加固办法
(1) 提高数据库自身网络加密功能力
数据库网络安全加固需要按照不同的情况进行加固。如果是缺乏数据库网络加密功能力,需要通过升级到有网络加密功能的数据库版本。如果只是数据库网络加密功能未开启,只需要通过调整参数开启网络加密功能即可。
但请注意数据库网络通讯协议加密后会导致很多数据库监控、审计软件无法正常工作。
(2) 第三方工具加固办法
网络加密的目标是防止中间人攻击。退而求其次利用数据库防火墙的ip/mac绑定,锁定允许访问数据库的固定机器,在一定程度上弥补了网络明文引起的安全威胁。
5. 数据库审计和日志安全加固办法
(1) 开启数据库审计和日志加固办法
数据库审计和日志有助于帮助客户对攻击进行溯源。所以加固的主要方式是开启审计和日志,并设置严格的策略。
(2) 第三方工具加固办法
审计日志开启会对数据库性能造成影响,除了开启数据库自身的审计和日志外。还可以通过第三方数据库审计工具完成数据库审计日志的安全加固任务。
6. 数据库权限配置安全加固办法
(1) 数据库自身权限配置加固办法
基于数据库账号/角色权限配置清单和客户数据库管理员进行沟通。按照最小化权限原则削减数据库账号的权限。
(2) 第三方工具加固办法
由于数据库账号和角色之间关系错综复杂,很容易越调越乱,甚至产生新的权限问题。也可以通过有细粒度控制能力的数据库防火墙产品。在数据库之外在做一层数据库权限设置。这样既避免了数据库自身权限的混乱,又解决了数据库权限不符合最小化原则的问题。
7. 数据库安全策略加固办法
在不影响业务的前提下,通过对数据库安全策略配置,可以完成数据库安全策略加固。
8. 数据库后门/木马清理办法
发现疑似数据库后门/木马的触发器或存储过程,在DBA确认确实和业务无关后,需要进行清理和追踪。
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件:三峡大学数据安全的坚实后盾与合作伙伴
学校介绍三峡大学是经国家教育部批准,由原武汉水利电力大学(宜昌)和原湖北三峡学院于2000年5月25日合并组建。2018年,学校被省人民政府列为“国内一流大学建设高校”,水利工程、土木工程、电气工程等3个学科被列为“国内一流学科建设学科”;目前,三峡大学已发展成为水利电力特色与优势比较明显、综合办学实力较强、享有较高社...
零部件企业数据保卫战:安企神软件如何筑起防泄密铜墙铁壁
瑞安市特迩翡汽车配件有限公司企业背景瑞安市戴尔菲汽车零部件有限公司一直致力于高共轨电喷(EFI)发动机和SCR排气系统的研发。通过了16949质量管理体系和CE认证,公司具备自主开发汽车电子系统和核心软件的技术能力。公司力争成为以市场为导向、以技术为支撑、以质量为先、以人才为本的知名创新型企业。产品包括:氮氧化物传感器...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...