RiskBasedSecurity2020Q3报告显示,2020年1月至9月期间约有360亿条数据记录被盗。这一结果虽然令人惊讶,但也发出了一个明确的信息,即数据库安全措施需要有效加强。数据库安全措施与网站安全措施略有不同。前者涉及物理措施、软件解决方案,甚至员工安全教育。但是,保护您的站点免受网络犯罪分子利用的潜在攻击媒介同样重要。本文想列出10个优秀的数据库安全实践,以帮助读者加强敏感数据的安全性。1.部署物理数据库安全措施数据中心或自有服务器容易受到外部甚至恶意内部人员的物理攻击。通过访问物理数据库服务器,网络犯罪分子可以窃取、破坏数据,甚至植入恶意软件以获得远程访问权限。如果没有额外的安全措施,就很难检测到此类攻击,因为它们能够绕过数字安全协议。选择网络托管服务时,重要的是要确保服务提供商始终关注安全性,并且过去有良好的安全记录。同时,最好避免免费托管服务,因为它们可能不安全。如果您自己保管服务器,强烈建议增加摄像头、锁具等物理安全措施,并配备安保人员。此外,应保留所有物理服务器访问记录,只允许特定人员访问物理服务器,以降低恶意行为的风险。2.数据库服务器的隔离需要特殊的安全措施来保护数据库免受网络攻击。将数据和网站放在同一台服务器上会使数据暴露于针对网站的各种攻击方法。假设您经营一家在线商店,并且您的网站、非敏感数据和敏感数据都在同一台服务器上。是的,您可以利用托管服务提供商提供的安全措施以及电子商务平台的安全功能来防止网络攻击和欺诈。但是,您的敏感数据很容易受到通过网站和在线商店平台进行的攻击。无论是网站还是在线商店平台,如果网络犯罪分子可以攻陷其中一个平台,他们就可以访问您的数据库。要减轻这些安全风险,请将您的数据库服务器与其他一切隔离开来。此外,采用专用于数据库安全的实时安全信息和事件管理(SIEM),让企业在发生漏洞时可以立即采取行动。3.设置HTTPS代理服务器。来自工作站的请求将在访问数据库服务器之前由代理服务器进行评估。这样,代理服务器就像一个看门人,阻止未经授权的请求。最常见的代理服务器是基于HTTP的。但是,如果您要处理敏感信息,例如密码、付款信息或个人信息,请设置HTTPS服务器。这样,通过代理服务器的数据也被加密,可以提供额外的安全层。4、在服务器之间传输数据时,避免使用默认网口TCP和UDP协议。这些协议在设置时往往会自动使用默认网络端口。因为它很常见,暴力攻击通常使用默认端口。如果您不使用默认端口,以您的服务器为目标的网络攻击者将不得不尝试不同的端口号,反复试验。这种额外的工作量非常令人沮丧,攻击者不会再在你身上浪费时间。但是,在分配新端口时,请记住检查Internet号码分配机构(IANA)端口注册表,以确保新端口未被其他服务使用。5.使用实时数据库监控主动扫描数据库以寻找入侵企图可以加强安全性,也有助于应对潜在的攻击。您可以使用Tripwire的实时文件完整性监控(FIM)来记录数据库服务器上的所有行为,并及时报告异常情况。此外,还可以设置升级程序来应对潜在的攻击,使敏感数据更加安全。另一个值得考虑的方面是定期审计数据库安全和组织网络安全渗透测试。这些措施有助于识别潜在的安全漏洞并在数据泄露发生之前对其进行修补。6、使用数据库防火墙和Web应用防火墙防火墙是阻止恶意访问的第一道防线。除了网站保护措施外,还应安装防火墙以保护数据库免受不同攻击媒介的侵害。三种类型的防火墙通常用于保护网络:数据包过滤防火墙状态数据包检测(SPI)代理服务器防火墙配置防火墙以确保正确覆盖每个安全漏洞。此外,保持防火墙处于最新状态对于保护您的站点和数据库免受新的网络攻击方法至关重要。7、部署数据加密协议数据加密不仅可以保护您的商业机密,也是敏感用户信息传输和存储的重要保护措施。设置数据加密协议可以降低数据泄露的风险。换句话说,即使网络犯罪分子掌握了您的数据,信息也是安全的。8.创建定期的数据库备份创建网站的备份是常见的做法,但创建定期的数据库备份也很重要。这样做可以降低因恶意攻击或数据损坏而丢失敏感信息的风险。在Windows、Linux等常见服务器上创建数据库备份的方法可以在官网找到。此外,为了进一步加强安全性,最好将备份加密并存储在单独的服务器上。这样,即使主数据库服务器被黑或无法访问,您的数据也可以恢复。9.保持应用程序更新研究表明,90%的应用程序包含过时的软件组件。此外,对WordPress插件的分析显示,两年未更新的插件有17383个,三年未更新的插件有13655个,七年未更新的插件有3990个。你用来管理数据库甚至操作网站的软件就是这些过时组件的集合,其中的巨大安全隐患可想而知。虽然你应该只使用经过验证和信任的数据库管理软件,但你也应该保持更新并安装可用的补丁。相同的更新原则适用于小部件、插件和第三方应用程序,并增加一条建议:不要使用那些不定期更新的应用程序。完全远离他们。10.采用强大的用户身份验证Verizon的最新研究表明,80%的数据泄露是由密码被盗造成的。这表明仅依靠密码并不是一个好的安全做法,因为太多人没有强密码。为了解决密码设置中的人为错误问题,并为您的数据库安全添加另一层防御,设置多因素身份验证过程。(该方法并不完美。)这使得网络罪犯很难绕过此安全程序,即使登录凭据被盗也是如此。此外,只允许经过验证的IP地址访问数据库进一步降低了潜在数据泄露的风险。虽然IP地址可以被复制或屏蔽,但这需要攻击者达到一定的技术水平,而且比较麻烦,不是吗?加强数据库安全和降低数据泄露风险是一项保护数据库免受恶意攻击的系统性工作,涵盖了从服务器物理位置到人为错误风险缓解的方方面面。即使数据泄露变得越来越频繁,保持健康的安全程序也可以降低攻击风险,并有助于防止数据被攻击者窃取。
