在大數據和云計算迅速發展的背景下,政府和企業都將自己的應用逐步的遷移到云環境中,用戶數據需要存儲在云端,伴隨而來的是云平臺數據庫平安風險增加.在云環境下無論是用戶自建數據庫還是使用云平臺提供的數據庫服務,都可能因數據庫存在漏洞和風險以及特權用戶惡意或者無意的操作造成數據泄露.在這里重點介紹一下數據庫自身潛在的風險,以及相應的防護技術,后續會重點介紹數據庫訪問控制、加密、平安審計等技術.

1) 數據庫自身漏洞問題

數據庫軟件系統和操作系統自身存在相關的漏洞,這些漏洞可能是導致數據庫成為黑客進擊的目標,引起核心的企業數據泄露.

2) 用戶弱口令及權限分派問題

數據庫存在用戶弱口令的問題,會引起口令被猜測和破解,從而導致數據庫數據被盜取泄露.數據庫用戶權限分配不合理問題容易造成內部人員權限濫用盜取泄露核心數據.

3) 數據庫運行狀態無法及時監控問題

云平臺服務商提供的數據庫服務只能對數據庫自己的硬件信息進行狀態監控(內存、磁盤空間、CPU),無法對數據庫連接數、性能、SQL響應時間等信息進行監控,無法直觀的了解數據庫的運行狀況.

為了及時的了解數據庫存在的風險,實時的了解數據庫的運行狀態,需要有專門的數據庫平安產品,提高數據庫的平安性.由北京中安星云軟件技術有限公司開發的數據庫監控掃描產品可以有效的解決這些問題.

中安星云云數據庫監控掃描產物主要功能點如下：

1) 風險及漏洞掃描

支持對云數據庫的弱口令檢測、權限分配、數據庫漏洞掃描功能.能夠發現各種管理和系統風險及數據庫不合理的配置項,及時通知管理員,提升數據庫使用的平安性,減少數據庫被攻擊的風險.

圖1 風險及漏洞掃描

2) 狀態監控

支持對云數據庫的系統內存使用狀況、緩沖區管理統計、文件系統狀態、用戶會話連接狀況、用戶查詢響應性能等數據庫信息的狀態監控,在數據庫狀態異常時進行預警,保證數據庫系統的可用性和響應才能.

圖2 狀態監控

3) 強大的平臺支持才能

產物能夠以鏡像的模式部署在主流的云平臺中,如：阿里云、青云、騰訊云、華為云等.能夠支持云平臺提供的數據庫如rds、rdb等；能夠對Oracle、SQL server、達夢、Mysql、DB2、人大金倉、Sybase、Informix等主流數據庫的監控掃描.

云數據庫監控掃描產物部署方式

通過旁路方式部署在云網絡中任何節點,與數據庫之間路由可達即可,可以對數據庫進行弱口令檢測、風險掃描、狀態監控,并能生成相關報表.

圖3 部署方式

(起源：中安星云 黃芳 郝文琛)