数据库安全审计实践：数据库安全之内外兼顾

　　“ 数据库 内部安全”和“数据库外部安全”形成了数据库安全的体系结构。这个体系结构既包含数据库自身的安全机制，也包含第三方的安全机制。

　　当我们谈到“数据库安全”时，我们往往只会想到数据库用户(如 Oracle 的超级用户sys)，以及这些用户拥有的系统权限(SYSDBA、SYSOPER、ALTER SYSTEM、CREATE TABLE等等)和对象权限(SELECT、INSERT、UPDATE、DELETE等)。没错，这些是数据库安全的范畴，但是仅仅依靠这些机制，能够保证数据库安全吗？答案当然是：不能!这些是数据库内部的安全，而数据库的安全同样需要来自外部的保证。也就是说，数据库的“内部安全”和“外部安全”形成了数据库的真正安全。

　　“数据库内部安全”和“数据库外部安全”形成了数据库安全的体系结构。这个体系结构既包含数据库自身的安全机制，也包含第三方的安全机制。该体系结构包括如下部分。

　　 路由器 ：路由器用于连接内网和外网，从内网进入外网的数据要经过路由器，从外网进来的数据也要经过路由器，因此，路由器的安全十分重要。

　　 WEB服务器 ：WEB 服务器 ( 应用服务 器)的安全也尤为重要，因为它们直接连接数据库，一些非法用户通过攻击WEB服务器或者应用服务器获得数据库的信息。

　　主机：数据库所在的主机安全也很重要，一旦获得主机的控制权， 黑客 将轻易控制数据库。主机上也可以安装软件 防火墙 ，此外，还可以采取其它措施(包括技术性的和非技术性的)来确保主机的安全。

　　监听器：客户端在访问数据库之前，要通过监听器进行连接，监听器有时候也会成为“泄密者”，因此，我们要经常研究和防范监听器的安全风险。

　　认证机制：在连接数据库时，需要对用户进行认证，可以使用数据库自身的认证机制，也可以使用 操作系统 认证和外部认证。外部认证机制有KERBEROS、RADIUS、 SSL 等。

　　加密：数据在网络的传输过程中，我们可以对数据进行加密，可以用RC4、DES、Triple-DES、AES等对网络传输的数据进行加密，这样的加密是网络层面的，并不是数据库层面。在数据库层面，我们可以对特定的表进行加密，也可以对整个表空间进行加密，此外，也可以对 存储 过程或者函数进行加密，Oracle提供了工具wrap来加密包括存储过程、函数、包等的PL/SQL源代码。数据字典也可以被加密。

　　Oracle应用：为了“掩盖”数据的真相，Oracle通过 视图 掩盖基表，通过虚拟私有数据库控制用户对特定数据的访问。Oracle Label Security也用来限制用户对数据的访问。谈到数据库安全时，也不能不谈到Oracle Database Vault，它存在一定的应用场景中，用于限制超级用户。

　　审计：审计是数据库安全最重要的一个环节之一，它对数据库的用户行为进行监控，除了Oracle自带的审计功能，我们也可以使用第三方的产品，如Guardium。Guardium除了具有审计的功能，还具有数据库防火墙的功能。

　　启明星辰公司数据库审计专家点评

　　此文对数据库安全进行了多方面的考虑，内容丰富，是非常好的科普文章。作者不仅从访问控制、认证、数据加密等角度阐述数据库自身安全，也考虑了应用服务器和外网等内容。数据库安全在国内已经有了很好的发展，相关产品除了国外的Oracle Database Vault、Guardium等产品，国内的启明星辰天玥、国都兴业慧眼等数据库安全产品也值得关注，国际知名咨询机构Frost & Sullivan对2012年中国数据库安全市场的分析报告显示，启明星辰天玥产品市场占有率 排名第一 。