数据库安全实践基本指南

金茹

在数字时代，攻击的威胁无处不在，而且还在不断增长。如果您的公司或机构未能遵守数据库安全最佳实践，将面临很大风险。有风险的项目包括宝贵数据、公众信任和品牌的好名声，福布斯报告称，78 %的公司对当前的安全态势缺乏信心。

数据库安全

数据库安全是一种信息安全方法，包括工具、控制和流程。它用于通过保护数据库管理系统免受未经授权的访问、非法使用和恶意网络攻击来维护数据库管理系统的机密性、完整性和可用性。

这意味着它有助于保护多项关键资产：数据库管理系统；数据库中的数据；任何相关的应用程序或集成；数据库服务器（物理和虚拟硬件）；人们用来访问数据库的计算和网络基础设施。

当数据库更容易访问和使用时，它更容易受到威胁，随着安全团队增加保护措施，数据库对威胁的抵抗力变得更强。但需要注意的是，访问和使用也变得更加困难。

然而，尽管用户体验存在潜在冲突，但组织别无选择，只能谨慎行事。近年来，由于不良行为者和高科技网络攻击盛行，数据泄露事件屡见不鲜。

2020年，下一代网络攻击增长了430 %，随着技术的进步，网络犯罪分子会尝试新的策略来攻击和破坏网络。因此，安全团队必须保持警惕，以抵御破坏性攻击。

以下是在2021年及以后，保持积极主动的数据库安全方法的原因。

数据保护就是资产保护

数据库泄露并非小事，无论是内部威胁还是威胁参与者访问您的网络，都可以迅速对数据库造成严重破坏。

2020年勒索软件攻击的激增严重打击了教育和医疗保健行业，一些目标面临高达4 000万美元的赎金。另一个问题是直接拒绝服务攻击的威胁，对于趁着电子商务复苏浪潮的零售公司来说，这是一个担忧。

投入更多资源来设计更强大的数据库安全性，可以防止漏洞并减少病毒、勒索软件和防火墙入侵等攻击的机会。

减少人为错误可提高数据安全性

根据Varonis的一份报告，95 %的网络安全漏洞是人为错误的结果，现在每天有30 000个网站遭到破坏。

值得庆幸的是，数据库安全性和自动化齐头并进，机器学习技术和自动检测可帮助实时检测和识别漏洞及安全威胁。凭借更快的洞察力和更准确的监控和分析，误报的机会更少，可以及时做出反应以防止真正的网络攻击。

当自动化与数据库安全结合使用时，可以让团队腾出时间专注于其他任务并获得全天候保护，还可以使用智能自动化来管理安全补丁，从而进一步减少人为错误并节省时间和成本。

加强客户关系

数据隐私不仅是让监管机构满意的打勾练习，消费者对在网上分享的内容以及与谁分享内容持谨慎态度，使得数据库安全对于与目标市场建立信任至关重要。

德勤表示，如果73 %的消费者认为组织对如何使用数据保持透明，他们会更愿意分享细节。因此，解决人们对隐私的担忧，明确如何使用数据来改善用户体验，以此与客户建立更牢固的联系。

通过数据安全保护品牌名称

这可能是一个数据驱动的时代，但客户仍然是王道，如果失去了客户的信任，就很难恢复。SecureLink报告称，87%的消费者在遭受数据泄露后再也不会与公司做生意。正如信任可以培养客户忠诚度一样，失去信任会让他们跑向竞争对手。

人们想知道他们分享的内容是否受到保护和保密，如果他们对这方面有任何疑问，可能很难吸引客户或扩大业务规模。一旦人们看到一个组织在涉及数据隐私的情况下处于不利地位，就几乎不可能恢复。

很明显，为什么数据库安全在2021年很重要。但是如何改善安全状况以提高网络弹性？以下是数据库安全的最佳实践。越早将这些投入使用就越有准备。

将数据库服务器分开

是否将数据和网站保存在同一台服务器上？如果是这样，将面临失去一切的风险。例如，攻击者可能会破坏电子商务的网站，然后在网络中横向移动以访问数据库。

通过保持数据库服务器隔离来避免这个陷阱，它不仅应该位于单独的物理机器上，而且不应连接到任何其他服务器或应用程序。

添加HTTPS代理服務器

代理服务器是一种特定的应用程序，它评估HTTP请求并将其从工作站路由到数据库服务器，可以将其视为防止未经授权访问的守门人。

随着在线业务、电子商务和信息共享的兴起，代理服务器是数据库安全的重要原则。将此功能添加到安全基础设施以加密所有数据，并在共享敏感信息（如密码或付款详细信息）时让用户更安心。

一个防火墙不足以提供良好的数据保护

一个防火墙在默认情况下拒绝流量，提供数据库安全框架坚固的第一层。可以使用防火墙保护数据库，但它不会阻止SQL注入攻击，这些攻击可能来自允许的Web应用程序，使犯罪者能够潜入或删除数据库中的数据。

因此，需要添加不止一种类型的防火墙。大多数情况使用以下3种覆盖网络：

包过滤防火墙；

状态包检测；

代理服务器防火墙。

请记住正确配置它们并保持更新。

经常更新所有软件和应用程序

95 %的网站使用过时的软件产品。无论是Word Press插件还是遗留软件，太多企业让他们的网络受到过时软件的攻击。

应该养成更新站点和网络上所有插件、小部件和第三方应用程序的习惯，此外，避免使用开发人员不经常更新的任何软件。

主动进行实时数据库监控

数据库安全就是保持警惕，监控的越多，错过的就越少，借助可靠的实时监控软件进行以下安全活动：

监控所有操作系统的登录尝试；

定期审查所有日志以检查异常情况；

创建警报以通知安全团队任何潜在威胁或可疑行为；

设计升级协议以确保敏感数据在发生攻击时保持安全。

创建备份并使用数据加密协议

许多人没有意识到在移动中加密数据的重要性。确保按计划创建备份并将这些加密备份与解密密钥分开存储，这样，即使数据落入坏人之手，信息也能保持安全。

密切关注端口（停止使用默认端口）

默认网络端口在某种程度上是现代数据库安全性的致命弱点，攻击者将通过暴力破解攻击这些端口，这些攻击使用自动化来尝试密码和用户名的组合以获得访问权限。数据窃取勒索软件PonyFinal就使用这种方法破坏网络。

确保所有端口都关闭，除非将它们用于已记录、审查和批准的活动业务案例。监控网络中的所有端口，并调查任何奇怪的事件或意外的开放端口。最后，停止使用默认端口，因为不值得冒這个险。

用户认证

密码提供了薄薄的防御，但仅靠密码是不够的，人们通常倾向于使用易于记忆的密码，而不是能够增强安全性的、长而独特的密码。

可以通过采用多因素身份验证来加强访问，有了这项措施，即使攻击者得到了登录凭据，也不太可能访问数据库。

不要忽视物理数据库安全措施

当世界转向云时，物理服务器并非没有优点。首先，将拥有更多的网络访问和控制权，并且通常可以确保更长的运行时间。

如果拥有混合网络（由物理服务器和虚拟服务器组成），请确保使用基本安全措施保护物理硬件，如锁、摄像头和配备安全人员。还可以监控对服务器的访问并记录所有入口。

尝试攻击自己：渗透测试和红队

当拥有网络安全框架和协议，并且团队遵守数据库安全最佳实践时，就该对其进行测试了。

安全团队可以审核自己的数据库安全性，并运行网络安全渗透测试，以发现缺陷或漏洞。采用网络罪犯的思维模式，可以突破安全态势的极限，在真正的攻击者发现弱点之前识别并修复弱点。

随着网络攻击性质的演变，阻止威胁的挑战变得更加复杂，去年保护数据和网络安全的措施明年可能就行不通了。采用本文的数据库安全最佳实践将帮助构建更强大的网络安全框架，以保护您的数据、服务器和用户。

最终，预防攻击和保护敏感数据方面越积极主动，在建立持久的客户关系和持续、可靠的业务合作伙伴关系，以及帮组织发展方面就越成功。