0.引言

數據庫安全是系統安全的重中之重，做好數據庫安全防護及規范，是系統建設的基礎。

今天我們來看看企業生產如何落地數據庫安全防護機制。

1. 數據庫安全問題

最好數據庫安全，我們首先要了解能夠威脅數據庫安全的問題有哪些：

• 1、基礎設施薄弱
  作為數據庫的第一層防護，我們的防火墻、網絡設備、服務器等基礎設施的防護如果不足，那么黑客則能夠利用這些薄弱點，來攻擊服務器，以獲取數據庫數據。

  甚至如果系統的硬盤存在問題，都不需要外部攻擊，可能內部使用時就會導致數據損壞。

• 2、弱認證
  數據庫訪問請求在經過網絡層、硬件層的校驗后，進入到數據庫本身的認證校驗中時，如果數據庫本身的密碼防護不足，也會導致安全問題。這一點也是很多初學者容易出現的問題，

• 3、用戶權限未隔離
  用戶權限不做層級劃分，不進行嚴格的權限分配，這是很多企業內部容易出現的安全問題。有的數據庫管理員為了圖方便，給每一個開發者都分配了一個最高權限的管理員賬號，開發者能夠隨意更改表結構，調整庫信息，這是非常危險的行為。

  從數據庫管理員的職責出發，這樣的做法是對企業生產極大的不負責。

• 4、SQL注入
  SQL注入是我們老生常談的問題了，這一點我們一般在開發層進行防護。隨著開發者安全意識的提高以及各類持久層的完備，這類問題倒是越來越少，但并不意味著我們可以不重視它，越是熟悉的地方，反而越容易馬虎。

• 5、數據庫備份弱加密
  數據庫連接加密是很多人都會完善的，但是較多企業缺會忽略備份數據的加密或者加密等級不足，也會導致數據的二次泄漏。安全防護在哪一層都容不得馬虎。

• 6、數據庫未做審計
  針對數據庫搭建審計系統，這一點依然是不可或缺的。使用審計系統，我們可以監控執行的數據庫更新語句，能夠在數據更改中加上一層防護。最后一層防止職權的濫用以及針對SQL的檢驗。

  很多企業覺得我們企業小，沒必要花錢搭建數據庫審計系統，但生產數據的安全防護，真的不能有一點馬虎，如果企業在這一塊的投入有限，但至少將生產環境保護起來，同時現在開源免費的數據庫審計軟件有很多，所需要投入的無非就是服務器成本和運維成本。如果連這一點都舍不得，那么數據安全的風險你也需要硬著頭皮承擔。

2. 安全防護措施

在我們了解了數據庫安全的風險點后，我們再一一針對這些問題點，來提出我們的防護方案：

2.1 網絡硬件安全防護

針對基礎硬件的安全防護，這一點不是開發能夠關注得到的，一般是由硬件供應商來提供。因此我們就需要關注我們能夠觸及到的網絡層安全防護了。

1、對外暴露時不要使用默認的數據庫端口
比如3306，建立內外網端口映射。這樣能夠降低惡意程序對數據庫的攻擊準度。

2、網絡隔離
通過VLAN、防火墻建立網絡環境隔離，將開發環境、測試環境、生產環境區分開來，防止一個環境產生問題而導致的事故蔓延。
針對開發者需要連接上企業服務器進行某些環境部署或者生產排錯的，需要搭建堡壘機，并且指定用戶禁用某些敏感指令，比如rm,reboot,chown等指令。從根本上扼殺“刪庫跑路”的可能。

3、防病毒系統
如果你不想讓你的服務器裸奔，那么安裝防病毒系統必不可少，而選擇哪些防病毒系統呢，最方便的解決方案就是聯系你的服務器供應商，讓他們給你提供完備的解決方案吧。
如果實在預算有限，那么就做好其他方便的防控，嚴格把控端口開放、權限釋放。

4、監控系統
我們需要一個監控系統來幫助我們全天監控服務器情況，發現異常情況馬上告知我們，比較早期的zabbix和現在流行的k8s都是不錯的選擇。

2.2 連接加密

除了網絡和硬件層外，連接加密是數據庫內部最頂層的保護措施了，設置用戶連接數據庫的賬號及密碼，注意密碼不可設置的過于簡單，最好包含大小寫字母、數字、特殊字符，長度不小于8位

針對書寫在配置文件中的連接密碼，要設置加密，防止二次暴露

2.3 用戶權限隔離

這一點是重中之重，權限分層管理，不同的用戶、角色設置不同的權限，普通開發人員不給予DDL權限，選擇性開放DML權限。

不需要的絕不多開一點權限，權限開通嚴格執行審批流程。

2.4 視圖保護

雖然現在已經不太建議采用視圖了，但是針對一些內部對接或者特殊要求，視圖依然是一種選擇，通過視圖可以嚴格把控輸出哪些字段數據，并且針對視圖進行賦權，把控哪些用戶能夠訪問哪些視圖。以此保障數據安全

2.5 審計系統

審計系統的搭建是小型企業實際生產容易忽略的問題，但是數據庫審計系統卻是數據安全防護至關重要的一環。除了完備的商業數據庫審計軟件外，我們還可以選擇一些開源的數據庫審計軟件或插件，比如通過數據庫審計插件：Percona Audit Log Plugin、MariaDB Audit Plugin、McAfee MySQL Audit Plugin、htp_audit，還有開源或免費審計軟件：yearning、CloudQuery

2.6 防SQL注入

如今多數的web防火墻、數據庫防火墻或者一些防護軟件能夠有效防護SQL注入，但是我們在實際的開發過程中依然要養成避免SQL注入的習慣，比如mybatis中書寫中慎用${}，在程序中書寫特殊字符過濾器等。

2.7 數據庫備份加密

數據庫備份是必不可少的操作，一般我們可以采用mysqldump指令實現。但是備份的數據文件如果不加以嚴格管理，反而成為一個安全隱患。

針對備份的數據，做好異地儲存，同時也要做好儲存文件的加密，加密密碼不可過于簡單。守好安全防護的最后一關。

總結

本期針對數據庫安全防護的講解就到此結束了，本期先針對防護概念做出梳理，下一期我們將講講其中一些措施的具體實施

總結

以上是生活随笔為你收集整理的mysql进阶：企业数据库安全防护方案的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。