何静

    数据库加固是一项纷繁复杂的工作，不但需要解决数据库存在的安全问题，更要针对每种安全问题、多种安全加固方案权衡利弊，保证业务系统的正常和稳定。以下针对数据库漏洞、数据库弱口令、数据库身份认证、数据库网络安全、数据库审计、日志安全、数据库权限配置和数据库安全策略的数据后门木马等问题，提出加固建议和方案。

    1.数据库漏洞加固

    数据库漏洞是数据库安全加固的核心，也是各种检查和渗透测试的关键点。如何消除数据库漏洞、保证系统稳定是摆在使用者面前的难题。

    （1）数据库版本升级加固办法

    通过数据库漏洞扫描工具对数据库进行检测，通过识别数据库组件、版本和补丁号等关键信息过滤出数据库存在的安全漏洞列表，形成《数据库安全检测报告》。报告中，针对数据库存在的漏洞，提供每一个漏洞的补丁链接。用户可以选择通过下载数据库补丁升级，解决存在的数据库漏洞。但补丁升级的方式需要做一系列的应用稳定性测试，避免数据库升级后，应用出现不稳定或无法使用的问题。一次完整的应用稳定性测试需要比较长的时间，这种比较适合在有稳定计划按部就班的情况下使用。

    （2）第三方工具加固办法

    对于比较紧急的情况，不建议通过升级数据库漏洞解决安全问题，建议采用有虚拟补丁功能的数据库防火墙产品，以串联方式部署于数据库之前。虚拟补丁会帮助数据库阻止针对数据库的漏洞发现和漏洞渗透攻击，杜绝攻击者利用漏洞对数据库发起的直接攻击。

    2.数据库弱口令加固办法

    （1）修改弱口令加固办法

    弱口令加固最直接的办法就是把弱口令修改成强口令。直接修改数据库账号的密码并不复杂，复杂的是衍生问题。如果同时有多个业务系统使用同一数据库账号，需要求多个业务系统一起修改访问数据库的密码，过程中可能会出现遗忘而导致业务中断等问题。

    （2）第三方工具加固办法

    除了直接修改弱口令密码，也可以使用带有数据库密码桥功能的第三方软件解决弱密码问题。密码桥是用来做数据库和应用系统密码映射的软件，串联在应用和数据库之间。应用使用密码访问数据库，密码桥通过改登陆包的方式把应用的错误密码映射成数据库的正确密码，帮助应用连上数据库。

    数据库修改密码后，不需要调整所有应用访问数据库的密码，只需要修改中间密码桥的映射表即可，使用密码桥可以有效地降低修改弱口令带来的潜在业务宕机风险。

    3.数据库身份认证加固办法

    （1）提高数据库身份认证能力

    数据库身份认证的加固需要按照不同的情况进行，如果是数据库缺乏身份认证能力，需要通过升级到有身份认证功能的数据库版本。如果只是数据库身份验证功能未开启，只需要通过调整参数开启数据库身份认证功能即可。

    （2）第三方工具加固办法

    如果数据库升级遇到困难，数据库又缺乏身份认证能力，也可以退而求其次利用数据库防火墙的IP/Mac绑定，锁定允许访问数据库的固定机器，在一定程度上弥补了缺乏数据库身份验证的问题。

    4.数据库网络安全加固办法

    （1）提高数据库自身网络加密功能力

    数据库网络安全加固需要按照不同的情况进行。如果是缺乏数据库网络加密功能，需要通过升级到有网络加密功能的数据库版本。如果只是数据库网络加密功能未开启，只需要通过调整参数开启网络加密功能即可。

    请注意数据库网络通信协议加密后会导致很多数据库监控、审计软件无法正常工作。

    （2）第三方工具加固辦法

    网络加密的目标是防止中间人攻击。退而求其次利用数据库防火墙的IP/Mac绑定，锁定允许访问数据库的固定机器，在一定程度上弥补了网络明文引起的安全威胁。

    5.数据库审计和日志安全加固办法

    （1）开启数据库审计和日志加固办法

    数据库审计和日志有助于帮助客户对攻击进行溯源，加固的主要方式是开启审计和日志，设置严格的策略。

    （2）第三方工具加固办法

    审计日志开启会对数据库性能造成影响，除了开启数据库自身的审计和日志外，还可以通过第三方数据库审计工具完成数据库审计日志的安全加固任务。

    6.数据库权限配置安全加固办法

    （1）数据库自身权限配置加固办法

    基于数据库账号/角色权限配置清单和客户数据库管理员进行沟通，按照最小化权限原则削减数据库账号的权限。

    （2）第三方工具加固办法

    由于数据库账号和角色之间关系错综复杂，很容易越调越乱，甚至产生新的权限问题，可以通过有细粒度控制能力的数据库防火墙产品，在数据库外再做一层数据库权限设置。这样既避免了数据库自身权限的混乱，又解决了数据库权限不符合最小化原则的问题。

    7.数据库安全策略加固办法

    在不影响业务的前提下，通过对数据库安全策略配置，完成数据库安全策略加固。

    8.数据库后门/木马清理办法

    发现疑似数据库后门或木马的触发器或存储过程，在DBA确认和业务无关后，需要进行清理和追踪。

• 高职电气自动化技术专业实践教学模式的探索与实践
• 包装策划与营销课程混合式教学研究与实践
• 以“工作室”为平台的高职会计专业现代学徒制改革探索
• 高职轨道车辆类专业电力电子技术课程教学改革的研究
• 现代化教学手段下高职院校实训课程教考优化
• 拓展专业在实施过程中面临的问题及对策探讨
• 农业类高职院校园林专业毕业设计环节存在问题及对策
• 基于校企合作的钳工实训教学改革
• 新时期“课证融合”教学模式的探索
• 技能竞赛为载体的建筑设计专业教学模式改革
• 新媒体如何在大学生思政教育中有效发挥作用
• 基于CDIO模式的单片机原理及应用课程改革与实践
• 浅谈高职开设软件开发真实项目实践课程的困难与化解
• 利用Mobile Moodle构建BYOD移动学习空间的研究
• “异步教学组织形式”实现“产教融合”
• 数字媒体设计类课程的混合式教学设计研究与实践
• 互联网+环境下管理类专业数字化教学平台建设的研究
• 配网成套开关设备状态监测系统研究
• 专业课的“课程思政”设计和实践
• 新护考形势下妇产科护理教学改革探究
• “体验式”实践教学在《康复护理学》中的应用效果研究
• 以健康需求为导向的临床医学专业预防医学教学改革初探
• 翻转课堂在高职病原生物与免疫学教学中的应用
• 护士规培新政策下高职护理课程体系结构的现状和展望
• 以创业为导向的医药电子商务教学模式探索与实践
• impassionedness
• impassionednesses
• impassionedness's
• impassive
• impassively
• impassivenesses
• impassiveness, impassivity
• impassivities
• impatience
• impatient
• impatiently
• impatientness
• impatientnesses
• impeach
• impeached
• impeacher
• impeachers
• impeaches
• impeaching
• impeachment
• impeachments
• impeccabilities
• impeccability
• impeccable
• impeccableness
• 物力
• 物力、财力或人力
• 物力维艰
• 物力艰难
• 物力钱
• 物力高强
• 物动
• 物化
• 物化劳动
• 物华
• 物华天宝
• 物卖当时
• 物博
• 物卢
• 物各有主
• 物名
• 物听
• 物和
• 物品
• 物品价值特别高，极其珍贵
• 物品制作得精妙
• 物品变臭
• 物品名称
• 物品在运输过程中被损坏
• 物品烧焦的样子