資料已成為企業最重要的資產之一。我們通常將資料儲存在資料庫中，因此瞭解如何保護這些資料至關重要。

本文提供的十個“段位”可以幫助您為資料庫安全定級。CISO和資料庫管理員(DBA)可以使用”段位“來確定他們的安全成熟度級別並確定進一步改進的步驟。

資料庫安全等級的十個段位

下表總結了1到10級的安全評級，1級是最低安全級別，10級是最高級別。所有評級都是累積的，因此每個評級都包含所有低於該級別評級的所有要求。

1。沒有任何安全防護

2。標準安全防護，最小化訪問許可權

3。變更控制和元資料快照

4。繪畫監控和審查

5。基礎SQL審計（DDL&DML）

6。全面SQL審計和網路加密

7。會話異常檢測與告警

8。SQL異常檢測與告警

9。主動取證檢查

10。DBA和應用的訪問限制

上述十個安全級別的順序對應安全性的增加以及成本和複雜性的增加。使用者無需額外軟體即可實現較低級別安全，但隨著段位提升，難度將逐漸變大，並且需要合適的安全產品和解決方案。

01

沒有任何安全保護

等級1

適用於不安全的資料庫。所有資料庫都自帶一定的安全級別，即使您沒有采取任何措施來保護它們。

02

標準安全和最低特權

等級2

適用於資料庫和作業系統均按照行業標準和最佳實踐進行配置的資料庫。

此評級還要求所有資料庫帳戶的許可權最低，這意味著授予帳戶的許可權是履行其職責所需的最低許可權。

作為評級2要求的一部分，應該努力消除共享帳戶。如果存在共享帳戶，則不應經常使用它們，並且它們的憑據應保密。

對於內置於資料庫中的特權共享帳戶，尤其需要限制使用。Oracle中的SYS和SYSTEM或SQL-Server中的SA等資料庫帳戶不應經常使用，它們的密碼應安全儲存並限制訪問。

例如，當應用程式使用特權帳戶或共享帳戶是我們運營方式的一部分時，此要求可能具有挑戰性。但是，減少和控制這些帳戶的使用對於安全至關重要。

03

變更控制和元資料快照

等級3

適用於受變更控制的資料庫。這意味著對元資料（例如使用者、許可權、配置和物件）的任何更改都應經過更改控制批准流程。

作為評級3要求的一部分，需要製作配置、使用者、許可權和物件元資料的每日快照。應及時調查和批准快照之間的更改。

本級別安全要求還建議將快照與類似資料庫進行交叉比較，以確保一致和統一的配置、使用者、許可權等。

變更控制的挑戰在於它可能很麻煩，而且往往被視為無用的繁文縟節。然而，缺乏對元資料更改的控制很快就會變成對資料的缺乏控制。

04

會話監控和審查

等級4

適用於所有登入都受到監控和定期審查的資料庫。應及時調查來自意外使用者、程式或機器的登入。

破壞資料庫安全的最簡單方法之一是竊取憑證。例如，竊取DBA使用者名稱和密碼將授予攻擊者對資料的無限制訪問許可權。監控登入可以降低這種風險。

大多數資料庫允許以最小的開銷審計登入和失敗的登入。實施挑戰是透過報告提供對資訊的有效審查。

05

基本的SQL審計（DDL&DML）

等級5

適用於定期記錄、報告和審查高風險SQL活動的資料庫。

高風險SQL活動包括：

所有DDL（包括DCL）——修改資料庫配置、物件、使用者、許可權等的SQL；

來自意外來源的DML，例如特權使用者和特定程式。

該要求的目的是對不頻繁和高風險的活動實施控制。稽核異常活動通常不會產生效能開銷，並且需要投入的時間也很少。實施方面的挑戰主要如何對活動進行及時有效的審查。

06

完整的SQL審計和網路加密

等級6

適用於在全面SQL審計下的資料庫，其中所有潛在風險的SQL活動都會定期記錄、報告和審查。

這轉化為審計大量活動，包括查詢。例如：

使用查詢和DML訪問敏感表；

所有DBA和特權使用者活動；

來自高風險程式的所有活動，如SQL Plus、Management Studio等；

不是來自應用程式伺服器的應用程式帳戶的活動；

即使在資料庫內部由儲存過程或觸發器執行的敏感活動。

等級6還要求所有資料庫網路活動完全加密，以防止網路嗅探和欺騙。

此要求的目標是開始對SQL活動應用嚴格的安全措施並防止許多網路攻擊。

網路活動加密在大多數資料庫中都是免費內建的，而且很容易開啟。此要求中的主要實施挑戰是在沒有適當解決方案的情況下審計過多活動可能會對資料庫效能產生重大影響。第二個挑戰是實現有效的報告，以最少的時間投入及時審查資訊。

在尋找審計解決方案時，請注意一些產品沒有避免資料庫效能開銷，而另一些產品不支援網路加密。

07

會話異常檢測和告警

評級7

適用於對異常活動源進行自動檢測和警報的資料庫。與評級4中執行的手動會話審查不同，此評級需要能夠檢測活動源配置檔案變化並實現告警的自動化。

包括：

對連線到資料庫的新使用者、程式、機器或它們的組合發出警報；

檢測共享帳戶（多個個人使用的帳戶）以及使用多個帳戶的個人。

此要求的目的是透過自動化來補充人工審查，以注意到並突出異常活動。這有助於避免意外疏忽，並確保快速檢測和響應。實施需要適當的解決方案來執行分析。

08

SQL異常檢測與告警

評級8

適用於對異常SQL活動進行自動檢測和警報的資料庫。與評級5和6中的手動SQL審查不同，此評級需要能夠分析資料庫中所有SQL活動（包括應用程式活動）的自動化。

包括：

不尋常的應用程式行為，如潛在的SQL注入；

異常活動水平。例如，執行的SQL數或訪問的行數異常多；

在一天中的奇怪時間活動；

涉及敏感表的新SQL。

此要求的目標遠不止避免意外疏忽和縮短檢測時間。其目的是對無法進行人工審查的資料庫中的大量活動進行控制。

即使是低活躍資料庫每天也可能執行數百萬次SQL查詢，如果沒有自動化，就不可能對它們應用任何級別的控制。該級別安全的實施需要能夠以低開銷捕獲所有活動並執行分析的軟體。

09

主動取證審查

評級9

適用於定期進行主動活動審查的資料庫。這意味著熟悉資料庫活動概況的人員會定期檢查活動（例如每月一次）。

審查的目的是確定可能未被發現的行為，包括內部濫用和外部攻擊。檢查還可以突出控制、風險做法等方面的差距。

該級別實施需要一個解決方案，能夠以最小的開銷捕獲所有活動，精簡併將其儲存在合理容量的磁碟空間中，並提供取證工具來分析和審查它。

10

限制對DBA和應用程式的訪問

等級10

適用於限制訪問帳戶的資料庫，例如DBA帳戶、特權帳戶和應用程式帳戶，否則對資料的訪問將不受限制。

此類限制通常不是本機資料庫功能的一部分，可能包括：

防止特權帳戶訪問他們不應訪問的模式、表或物件。例如，DBA帳戶通常不應訪問資料；

阻止不應訪問它的程式或機器訪問該帳戶。例如，只有應用程式和應用伺服器才能訪問應用帳號；

阻止在不應該使用資料庫的時間訪問帳戶；

防止帳戶訪問比預期更多的資料（速率限制）；

透過要求安全人員預先授權某些特權活動來強制分離職責。

該級別安全控制需要一個單獨的特權訪問控制解決方案來實施，因為它超出了本地資料庫的預防控制。對資料庫應用預防控制會帶來阻止合法活動的操作風險。因此，必須按照適當的最佳實踐謹慎部署此類措施，以最大程度地減少中斷的可能性。