近年来,随着高校师生敏感数据泄露、篡改等多种安全事件的不断发生,各高校越来越重视数据库的安全防护和加固。本文结合浙江大学数据库现状,对现有的安全策略和正在推进的强化措施进行介绍。
浙江大学数据库现状
浙江大学现阶段使用的是一种集中专用的数据库硬件架构,即“服务器+数据库+存储设备”的数据处理架构。针对浙江大学真实的数据库应用环境,以及每年递增的数据库使用需求,目前浙江大学信息技术中心已先后在三个机房部署多套数据库集群,这些集群分别部署在虚拟机和物理PC服务器上。
以前的数据库运行在不同物理服务器的不同平台上,设备普遍比较老旧。此外各套数据库之间版本不统一且普遍版本过旧,漏洞多,性能低下,维护成本较高。同时,随着硬件技术的改进,尤其是CPU数量的增加,服务器能够处理更多的工作负载,而数据库只使用了服务器硬件容量的一部分,导致硬件资源无法得到充分利用,造成一定的资源浪费。上述种种原因造成了在现有的数据库环境下,直接添加安全防护措施的难度和成本将大大增加。
因此,浙江大学信息技术中心目前正在全面推进数据库的整合升级工作。基于浙江大学现有的硬件环境,依然采取传统的数据库集群架构,通过软件层面升级,实现数据库软件及硬件的整合统一,调整后的架构如图1。
数据库整合统一后,信息技术中心维护的所有数据库将共用同一套服务器、数据库系统和存储设备,在安全方面最直接的好处是所有的安全防护设备可以统一部署,为后续安全工作的开展打好基础。
数据库安全策略配置
浙江大学数据库在保障服务器及网络环境安全防范的基础上充分利用数据库系统自身的策略进行安全防护,主要包括如下几个方面:
访问控制和权限控制
1.基本参数设置
要对一些基本参数进行设置,如:用户密码必须为复杂密码;设置密码失效时间和密码过期提示;密码使用一段时间后强制要求重置密码;限制登录失败重试次数;设置账号锁定时长等等。
2.用户权限控制
要对用户的权限进行严格控制。申请用户权限需提交书面申请,同时数据库维护人员要对用户申请的权限进行审核。仅授予用户所需的权限,限制用户操纵数据库的权利;仅允许用户对其名下的数据库实体进行存取执行,阻止用户访问非授权数据。
3.视图机制
要采用视图机制,限制用户存取基表的行和列集合。
数据库备份
1.数据库启用自动归档
归档日志是非活动的重做日志备份。通过使用归档日志,可以保留所有重做历史记录,可用于用户数据文件的恢复。
2.数据库启用自动物理备份
物理备份是对数据库的物理文件(数据文件、控制文件、参数文件、归档日志文件)进行转储,一旦数据库发生故障,可以利用这些文件恢复到数据库的失效点。物理备份分为热备份和冷备份。由于冷备份需要数据库暂时处于关闭状态,因此浙江大学的数据库采用热备份的方式。
3.数据库启用自动逻辑备份
逻辑备份是对数据库对象(用户、表、存储过程等)进行转储。
4.数据库启用控制文件自动备份
控制文件是一类物理文件,它的重要性在于它记录了数据库名字、数据文件位置等信息,一旦控制文件被损坏,数据库将会宕机。因此,需要在不同的物理路径下备份控制文件。
5.数据库启用归档日志自动删除
数据库已开启了自动物理和逻辑备份,因此归档日志存在大量冗余,为提高空间的可用性和利用率,需对已备份的归档日志进行自动删除,充分利用存储空间。
数据库审计
数据库审计可以记录对数据库对象的所有操作。无论哪种数据库系统,均会提供不同的审计方法来监控使用何种权限,以及访问哪些对象。审计不会防止使用这些权限,但可以提供有用的信息,用于揭示权限的滥用和误用。
审计一般可以分为三类:语句审计、权限审计和对象审计。但过度的审计可能会对数据库性能产生负面影响,因此应该先对关键的权限和对象进行基础审计,然后根据需要再扩展审计。
浙江大学现有的数据库审计采用对更新、删除等权限以及重点单位名下对象进行基础审计的模式,扩展审计根据重要级别按需增加。整合后的数据库系统上将继续采用原有的审计模式。考虑到新数据库性能更优,将适当调整审计范围和程度,保证在基本不影响性能的情况下,实现最大程度的审计力度。后续还将考虑添加数据库外部审计,如基于网络侦听的外部审计设备等。
其他安全防护措施
1.数据库灾备
数据库灾备包括数据库容灾和数据库备份。容灾在数据库遭遇人为或自然灾害时保证业务的正常运行;备份保证灾难来临时不会造成数据的丢失。数据库灾备为数据库实现高可用性提供重要保障。
目前浙江大学一些核心系统已实现灾备。在数据库整合统一后,将搭建统一的灾备系统,为主生产系统提供保障,一旦主生产系统因人为攻击或自然灾害而无法继续提供数据服务时,灾备系统可以立刻接管业务,并在主数据库恢复后将业务回切,以保证业务的不中断,同时硬件资源也能达到最大化的利用。
2.堡垒机
堡垒机是一个统称,不同的生产厂商对其有不同的命名。它运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件和网络活动,并对收集到的信息进行集中报警、记录、分析和处理,从而保障系统不受来自外部和内部用户的入侵和破坏。
以往,一旦发现疑似数据库安全事件,往往需要数据库维护人员根据已有的线索,翻阅日志,分析原因并采取措施。而考虑到数据库性能,数据库审计往往不会过于精细,导致可参考的审计内容有限,增加了分析处理的难度。此外,以往对数据库访问的控制往往通过用户账户密码和IP地址过滤来实现,局限性大,且无法审计用户连接数据库后的操作,存在很大的安全隐患。
堡垒机通常具备跨平台管理、多维度访问控制与授权、运维行为审计、审计信息管理等功能。将堡垒机采用“物理旁路、逻辑串联”的方式部署在数据库系统上后,所有的用户必须通过堡垒机才能访问数据库,用户的所有操作行为都将被记录存储下来,从而实现对用户的操作审计。对高校而言,堡垒机通过集中的账号管理、运维操作访问控制和全程运维操作审计,能帮助高校信息部门转变传统的安全运维被动响应模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,保障高校运维的安全稳定运行。
浙江大学在确保服务器及网络环境安全的前提下,合理配置数据库安全策略,结合数据库审计、数据库灾备和即将配置的堡垒机,将全面保障学校数据库系统的安全稳定运行。
技术在不断革新,数据库技术日新月异,随之而来的安全隐患也源源不断。除了不断更新数据库安全防护策略和措施外,也应加强对数据库用户、管理员的安全意识和安全操作培训,从多方面保障数据库的安全。
(作者单位为浙江大学信息技术中心)