编者按：

　　所有存在数据的地方，只要数据是有价值的，就存在风险。大量的重要数据往往都存放在数据库系统中，如何保护数据库，有效防范信息泄漏和篡改成为一个重要的安全保障目标。本期我们分享高校在数据库安全保障方面的一些做法。

　　保障高校数据库安全需定时巡检

　　数据库系统安全是一项综合性的系统工作，贯穿数据库系统环境构建初始到数据库系统应用的整个过程。大连海事大学经过多年的实践与摸索，逐步建成了适合学校实际应用的数据库系统安全体系。

　　数据库系统安全环境构建

　　安全环境构建主要有硬件环境、软环境和网络环境三个方面。

　　1.硬件冗余是数据库安全的硬件基础，可避免因硬件的单点故障带来的数据库系统安全问题。

　　2.搭建软环境的数据库集群，可确保数据库服务的负载均衡和失效转移，避免因软环境的单点故障带来的服务安全问题。采用集群架构，配置多个服务器节点，节点之间通过私有网络进行通信，互相监控节点的运行状态，所有集群节点可以共享读写共享存储。

　　3.通过在核心交换机划分VLAN，将数据库服务器的网络网段设定为内部私网地址，并配置VLAN间访问控制，实现前端服务器和数据库服务器之间分离，可在一定程度上保障数据库系统的网络访问安全。

　　数据库参数和性能调优

　　1.调整内存参数

　　调整内存参数是较常用的优化方法。根据数据库实际运行的工作负荷、统计情况，调整相应参数值，以确保数据库系统自身运维环境的可靠性。

　　2.开启数据库归档模式

　　当出现介质损坏、误操作时，数据库管理员可以凭借归档日志文件来防止丢失数据，从而当数据库出现意外故障时，最大限度地保护数据的安全性。

　　3.在线重做日志缓冲区调整

　　设置合适的重做日志缓冲区值，可以避免重做日志缓冲区写入失败，提高进程的写入效率，从而提高数据库性能。

　　4.限制最大连接数

　　根据数据库软硬件平台的实际性能，设置数据库的最大连接数参数，保障业务稳定性。

　　数据库系统管理安全性策略

　　1.数据库系统管理员

　　保护管理者与数据库的连接，只有数据库管理者能用管理权限连入数据库。修改数据库默认账号密码，加强静态口令认证的密码复杂度控制。

　　2.用户安全管理

　　按照用户或应用分配数据库账号，避免共享账号，删除或锁定与数据库运行、维护等工作无关的账号；将用户权限最小化，对账号的属性进行控制，包括密码策略、资源限制等。

　　3.权限管理

　　只有给用户授予了特定权限或角色之后，该用户才能连接到数据库，进而执行相应的SQL语句或进行对象访问操作。同时可以通过回收权限的命令对所授予的权限进行回收。

　　4.数据库漏洞

　　数据库版本升级与打补丁，尽可能地堵住潜在的各种漏洞，防止非法用户利用它们侵入数据库系统。数据库软件版本尽量保持稳定，尤其是要及时为数据库安装各种安全补丁。

　　数据库审计

　　部署独立的数据库安全审计设备，采用外挂旁路的方式，通过网络端口的数据映射，将数据库系统访问的数据流量映射给第三方数据库安全审计设备，从而既能达到数据库审计目的，又不会给数据库系统带来额外的系统负载和开销。审计工具用于记录关于数据库操作的信息，如操作是何时发生的，是哪个用户在执行；可进行SQL语句审计、权限审计、模式对象审计等等，通过审计可以跟踪有异常的数据库操作行为，从而为数据库管理的优化调整提供依据。

　　数据灾备

　　百密或有一疏，再可谓道高一尺，魔高一丈，没有绝对的安全，因此做好数据灾备是必需的。一般采用数据的物理备份、逻辑备份和数据容灾三种方式，确保数据备份和容灾系统在发生灾难性事件时，数据能够被快速恢复，从而提升数据的可用性。

　　数据库定时巡检

　　在软硬件各种安全保障的前提下，人工巡检也非常重要。巡检内容包括：

　　1.服务器负载情况：主要查看服务器是否出现自动重启、服务器资源使用情况、内存使用情况、I/O使用情况、硬盘使用情况。

　　2.数据库集群工作情况：主要查看集群工作状态、集群下资源使用状态。

　　3.数据库资源及运行状况：表空间使用情况、监听日志情况、alert日志情况、数据库资源使用情况、数据同步日志。

　　巡检中发现问题，要根据查到的问题对症下药，及时正确查找原因并解决，以保证数据库系统的安全可靠运行。

　　数据加密

　　随着数据安全防护的迫切需求，尝试基于加密算法和合理的密钥管理，有选择性地加密敏感字段内容，能够有效防止数据泄漏，对保护数据库安全会起到很好的作用。

　　重视数据库系统安全工作，必须建立数据库安全防护机制，面临数据库安全事件，综合考虑技术和管理各方面能力，遵循“事前布防监控与预警、事中应急防御与反击、事后分析追查与调整”的思路，全面纵深防御，保障数据库系统安全。

　　（作者单位为大连海事大学）