随著(zhe)越來(lái)越多(duō)的(de)企業開始進行數字化(huà)轉型并推進企業上雲，數據庫的(de)安全問題已成爲了(le)CTO/CIO們所需要考慮的(de)最高(gāo)優先級的(de)工作内容之一了(le)。

對(duì)數據庫安全的(de)防禦，注定是個(gè)艱苦的(de)旅程，但是，企業的(de)業務數據和(hé)客戶數據的(de)洩露，對(duì)每個(gè)企業來(lái)說，都幾乎是不能承受的(de)損失，關乎企業的(de)短期經營與長(cháng)期信譽。所以，企業必須在數據庫安全性方面保持高(gāo)度警惕，以确保其免受各種外部和(hé)内部的(de)威脅。

但另一方面，越來(lái)越多(duō)的(de)，以從事網絡犯罪爲生的(de)黑(hēi)客，也(yě)已将企業數據庫設爲自己的(de)首要攻擊目标，因爲它們存儲著(zhe)大(dà)量有價值和(hé)敏感的(de)信息，可(kě)能涉及用(yòng)戶隐私數據、知識産權數據甚至金融資産數據等，這(zhè)能夠讓他(tā)們借助灰色産業鏈輕易地變現并大(dà)量獲利。

不過，除了(le)極少數背後有利益相關方驅使的(de)，攻擊目标明(míng)确的(de)黑(hēi)客外。絕大(dà)多(duō)數黑(hēi)客在選擇攻擊目标時(shí)，會通(tōng)過漏洞掃描，選擇那些有明(míng)顯缺陷，防禦薄弱的(de)企業信息化(huà)系統進行攻擊，而不會将過多(duō)的(de)精力浪費在看上去似乎防範嚴密的(de)企業身上。因此作爲企業，應該在程序開發、應用(yòng)集成、漏洞修補以及數據庫管理(lǐ)等方面不犯或盡量少犯錯誤，不要讓黑(hēi)客們有機可(kě)乘，或者至少不要輕易被其鎖定爲攻擊目标。

下(xià)面列出了(le)數據庫八大(dà)最常見的(de)安全問題，這(zhè)些問題，大(dà)多(duō)都是企業自身可(kě)以解決的(de)：

1.開發問題

在開發過程中的(de)粗心大(dà)意，很可(kě)能會是造成數據庫陷入危機的(de)一個(gè)原因。你的(de)機密數據，很可(kě)能會被輕而易舉的(de)暴露在正常使用(yòng)應用(yòng)的(de)内部或外部用(yòng)戶面前。例如沒有對(duì)身份證号碼或手機号碼進行部分(fēn)屏蔽就将其展示在頁面上，讓本不應該掌握這(zhè)些數據的(de)人(rén)看到。解決這(zhè)一問題的(de)關鍵在于加強企業應用(yòng)的(de)功能性測試。

2.網絡接口

很多(duō)數據庫都有網絡接口，如果黑(hēi)客想要利用(yòng)它們，就可(kě)以很輕易地操縱數據庫中的(de)這(zhè)些網絡接口，爲了(le)避免發生這(zhè)種現象，使用(yòng)TLS或SSL加密通(tōng)信平台就變得(de)尤爲重要。

3失控的(de)數據訪問特權

包括各種過多(duō)的(de)、不适當的(de)和(hé)未使用(yòng)的(de)特權。例如給一個(gè)負責新員(yuán)工招聘的(de)HR，開通(tōng)了(le)（或保留了(le)）查閱全體員(yuán)工薪資的(de)權限，使他(tā)能夠了(le)解到每一位高(gāo)管的(de)薪資。

4.能夠繞過程序應用(yòng)界面而對(duì)數據庫進行直接訪問

在每個(gè)企業中，都有人(rén)能夠使用(yòng)數據庫賬戶直接訪問數據庫，從而繞過了(le)應用(yòng)程序界面，這(zhè)也(yě)就意味著(zhe)繞過了(le)應用(yòng)程序的(de)日志記錄和(hé)檢索限制，這(zhè)會讓對(duì)數據庫管理(lǐ)的(de)安全性機制形同虛設。

5. 疏于内部防範

企業需要警惕來(lái)自内部的(de)數據安全威脅，包括竊取和(hé)破壞。而解決這(zhè)種問題的(de)方法就是對(duì)數據檔案進行加密，并且隔離管理(lǐ)員(yuán)和(hé)用(yòng)戶之間的(de)權限。如此一來(lái)，内部員(yuán)工想要竊取或破壞數據，就需要面臨更多(duō)的(de)挑戰了(le)。

6.Web應用(yòng)程序安全性不足

多(duō)年來(lái)，SQL注入攻擊一直是Verizon DBIR報告中的(de)頭号威脅。一旦應用(yòng)程序被注入惡意的(de)字符串來(lái)欺騙服務器執行命令，那麽管理(lǐ)員(yuán)不得(de)不收拾殘局。目前最佳的(de)解決方案就是使用(yòng)防火牆來(lái)保護數據庫網絡。

7.密鑰管理(lǐ)不當

保證密鑰安全是非常重要的(de)，加密密鑰通(tōng)常存儲在公司的(de)磁盤驅動器上，如果這(zhè)些密鑰一旦遺失，那麽您的(de)系統會很容易遭受黑(hēi)客的(de)攻擊。

8.不安全的(de)存儲介質

許多(duō)管理(lǐ)漏洞涉及數據庫備份磁盤和(hé)磁帶的(de)被盜或意外暴露。這(zhè)種物(wù)理(lǐ)上的(de)接觸意味著(zhe)有人(rén)可(kě)以插入拇指大(dà)小的(de)USB驅動器而直接獲取數據。因此企業需要健壯的(de)數據庫監控和(hé)防禦工具，已防範這(zhè)些類型違規行爲。