据统计，全球受数据泄露影响最为严重的行业有金融、政府、制造、电商、教育、医疗等，一旦发生损失惨重。一个血淋淋教训刚刚发生：弹幕视频网站 AcFun（A 站）2018年6月13日星期三在官网发布 《关于 AcFun 受黑客攻击致用户数据外泄的公告》 称，A站受到黑客攻击，“近千万条用户数据外泄”。其中包括用户 ID、昵称、“加密存储”的密码等信息。

数据外泄一般都是由于密码加密强度不高、权限管理混乱、安全措施做得不够造成的。如何做好数据库层面的保护，使你的数据库系统免受灾难是每一个数据库管理员从业人员管理员应尽得职责，由于云时代的到来，很多企业开始拥抱互联网，小编通过自身的数据库多年的从业经验，针对利用云计算的基础实施如何做好数据库防护做个浅显的分享：

一、做好数据库攻击的事前预防:

• 做好权限管理：云计算厂商一般都会提供访问控制（Cloud Access Management，CAM）的Web服务，主要用于帮助客户安全管理账户下的资源的访问权限。通过 CAM 创建、管理和销毁用户(组)，并使用身份管理和策略管理控制其他用户使用云资源的权限。对于密级较高的数据，也可以采用密钥管理服务（Key Management Service）来进行加密。
• 自定义专属私有网络( VPC )：目前云计算厂商均会提供私有网络访问，在云上自定义的逻辑隔离网络空间。私有网络下的实例可被启动在预设的、自定义的网段下，与其他云租户相互隔离。
• 利用安全组控制访问权限：安全组是一种有状态的包含过滤功能的虚拟防火墙，用于设置单台或多台服务器的网络访问控制，运维人员需要控制好相应机器的访问列表，严格控制安全组的访问列表。

二、加强数据库攻击的事中防护：

• 做好多重认证信息：

做好密码的强认证，强制要求数据库密码的复杂度，防止被黑客暴力破解；

针对高危的操作，如drop table，drop database操作做好权限控制禁止，添加短信密码的认证，当然这块的开发成本也是非常高昂。

• 加强数据通信加密：有条件的可以采取 IPsec VPN数据通道加密，或者使用SSL的传输加密，当然要承担30%左右的性能损失。
• 数据加密： 开启数据存储加密（如TDE），防止数据意外泄露后直接被黑客解密相应核心数据。

三、做好事后审查纠正：

一旦入侵行为发生，除了采取必要措施进行封堵，就是回溯和确认攻击源头，还原恶意行为的蛛丝马迹。我们需要一个详细的审计日志的记录和存储，便于查出”对手”的详细信息以及准确的损失评估，便于后面的长期预防和业务止血。

讲了这么多，想做好上述详细的数据库安全防护，需要投入大量的开发及DBA同学进行长期的建设，业务又要快速奔跑，折煞相关的管理人员。好在我们生活在云计算的美好时代，腾讯云数据库可以帮我们解决燃眉之急。腾讯云数据库基于腾讯云安全体系，提供防火墙，帐号安全、访问控制、入侵防御、隔离、加密、备份恢复、数据库审计等多重安全机制，保护用户数据安全，提供全套的数据库安全解决方案，让腾讯云的企业时刻都能安心于自身的业务拓展。

合规性是腾讯云发展的基础，腾讯云遵从不同行业、领域、国家的安全合规性要求，全力打造值得客户信赖的云服务；同时，腾讯云积极参与行业安全标准的制定及推广，坚持合规即服务，建设和运行安全可靠的云生态环境。腾讯云数据库在安全合规方面拥有多项国内第一。

整理/夏立城 上海蓝盟创始人兼CEO，复旦校友创新创业俱乐部副会长，致力于用IT外包网络维护服务赋能企业客户发展，助力其创新、迭代和进化。

蓝盟在上海成立，致力于为企业客户提供IT外包、IT软硬件采购、弱电工程（网络布线、机房建设、门禁考勤、视频监控、电话交换机、多媒体会议室）、系统集成（网络组建、网络改造、WIFI覆盖、数据备份、病毒防护、文件权限、虚拟化等）、云服务（微软云、阿里云、企业邮箱、Office365等）“一站式”IT外包解决方案。 www.lanmon.net，www.lanmon.com 咨询。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 蓝盟观点：IT外包的难题、好处与风险

• 分享到：