在大數(shù)據(jù)和云計(jì)算迅速發(fā)展的背景下,政府和企業(yè)都將自己的應(yīng)用逐步的遷移到云環(huán)境中,用戶(hù)數(shù)據(jù)需要存儲(chǔ)在云端,伴隨而來(lái)的是云平臺(tái)數(shù)據(jù)庫(kù)平安風(fēng)險(xiǎn)增加.在云環(huán)境下無(wú)論是用戶(hù)自建數(shù)據(jù)庫(kù)還是使用云平臺(tái)提供的數(shù)據(jù)庫(kù)服務(wù),都可能因數(shù)據(jù)庫(kù)存在漏洞和風(fēng)險(xiǎn)以及特權(quán)用戶(hù)惡意或者無(wú)意的操作造成數(shù)據(jù)泄露.在這里重點(diǎn)介紹一下數(shù)據(jù)庫(kù)自身潛在的風(fēng)險(xiǎn),以及相應(yīng)的防護(hù)技術(shù),后續(xù)會(huì)重點(diǎn)介紹數(shù)據(jù)庫(kù)訪問(wèn)控制、加密、平安審計(jì)等技術(shù).

1) 數(shù)據(jù)庫(kù)自身漏洞問(wèn)題

數(shù)據(jù)庫(kù)軟件系統(tǒng)和操作系統(tǒng)自身存在相關(guān)的漏洞,這些漏洞可能是導(dǎo)致數(shù)據(jù)庫(kù)成為黑客進(jìn)擊的目標(biāo),引起核心的企業(yè)數(shù)據(jù)泄露.

2) 用戶(hù)弱口令及權(quán)限分派問(wèn)題

數(shù)據(jù)庫(kù)存在用戶(hù)弱口令的問(wèn)題,會(huì)引起口令被猜測(cè)和破解,從而導(dǎo)致數(shù)據(jù)庫(kù)數(shù)據(jù)被盜取泄露.數(shù)據(jù)庫(kù)用戶(hù)權(quán)限分配不合理問(wèn)題容易造成內(nèi)部人員權(quán)限濫用盜取泄露核心數(shù)據(jù).

3) 數(shù)據(jù)庫(kù)運(yùn)行狀態(tài)無(wú)法及時(shí)監(jiān)控問(wèn)題

云平臺(tái)服務(wù)商提供的數(shù)據(jù)庫(kù)服務(wù)只能對(duì)數(shù)據(jù)庫(kù)自己的硬件信息進(jìn)行狀態(tài)監(jiān)控(內(nèi)存、磁盤(pán)空間、CPU),無(wú)法對(duì)數(shù)據(jù)庫(kù)連接數(shù)、性能、SQL響應(yīng)時(shí)間等信息進(jìn)行監(jiān)控,無(wú)法直觀的了解數(shù)據(jù)庫(kù)的運(yùn)行狀況.

為了及時(shí)的了解數(shù)據(jù)庫(kù)存在的風(fēng)險(xiǎn),實(shí)時(shí)的了解數(shù)據(jù)庫(kù)的運(yùn)行狀態(tài),需要有專(zhuān)門(mén)的數(shù)據(jù)庫(kù)平安產(chǎn)品,提高數(shù)據(jù)庫(kù)的平安性.由北京中安星云軟件技術(shù)有限公司開(kāi)發(fā)的數(shù)據(jù)庫(kù)監(jiān)控掃描產(chǎn)品可以有效的解決這些問(wèn)題.

中安星云云數(shù)據(jù)庫(kù)監(jiān)控掃描產(chǎn)物主要功能點(diǎn)如下：

1) 風(fēng)險(xiǎn)及漏洞掃描

支持對(duì)云數(shù)據(jù)庫(kù)的弱口令檢測(cè)、權(quán)限分配、數(shù)據(jù)庫(kù)漏洞掃描功能.能夠發(fā)現(xiàn)各種管理和系統(tǒng)風(fēng)險(xiǎn)及數(shù)據(jù)庫(kù)不合理的配置項(xiàng),及時(shí)通知管理員,提升數(shù)據(jù)庫(kù)使用的平安性,減少數(shù)據(jù)庫(kù)被攻擊的風(fēng)險(xiǎn).

圖1 風(fēng)險(xiǎn)及漏洞掃描

2) 狀態(tài)監(jiān)控

支持對(duì)云數(shù)據(jù)庫(kù)的系統(tǒng)內(nèi)存使用狀況、緩沖區(qū)管理統(tǒng)計(jì)、文件系統(tǒng)狀態(tài)、用戶(hù)會(huì)話(huà)連接狀況、用戶(hù)查詢(xún)響應(yīng)性能等數(shù)據(jù)庫(kù)信息的狀態(tài)監(jiān)控,在數(shù)據(jù)庫(kù)狀態(tài)異常時(shí)進(jìn)行預(yù)警,保證數(shù)據(jù)庫(kù)系統(tǒng)的可用性和響應(yīng)才能.

圖2 狀態(tài)監(jiān)控

3) 強(qiáng)大的平臺(tái)支持才能

產(chǎn)物能夠以鏡像的模式部署在主流的云平臺(tái)中,如：阿里云、青云、騰訊云、華為云等.能夠支持云平臺(tái)提供的數(shù)據(jù)庫(kù)如rds、rdb等；能夠?qū)racle、SQL server、達(dá)夢(mèng)、Mysql、DB2、人大金倉(cāng)、Sybase、Informix等主流數(shù)據(jù)庫(kù)的監(jiān)控掃描.

云數(shù)據(jù)庫(kù)監(jiān)控掃描產(chǎn)物部署方式

通過(guò)旁路方式部署在云網(wǎng)絡(luò)中任何節(jié)點(diǎn),與數(shù)據(jù)庫(kù)之間路由可達(dá)即可,可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行弱口令檢測(cè)、風(fēng)險(xiǎn)掃描、狀態(tài)監(jiān)控,并能生成相關(guān)報(bào)表.

圖3 部署方式

(起源：中安星云 黃芳 郝文琛)