纵观全球数据库安全态势，关系型数据库2017年持续成为数据窃取者的主要目标，而大数据平台的建立与发展（如Hadoop，NoSQL数据库和DBaaS等）更加剧了数据安全风险。

Gartner发布“2017全球数据库安全市场趋势报告”（以下简称“报告”），对全球数据库安全风险，应对技术以及未来发展趋势进行了深度剖析，数据泄露或篡改风险可能导致企业面临无法通过审计导致的资产负债，监管罚款，盈利受损或客户投诉等诸多负面影响。基于报告中的研究结果，技术战略规划者需要重新评估其数据库的安全状况。

数据库安全发展几大趋势：

很少有数据库安全产品能够适应越来越复杂应用场景，这些场景可能涉及关系数据库管理系统（RDBMS），Hadoop，NoSQL和数据库即服务（DBaaS）；
数据库迁移到云上，用户对云端数据安全性以及如何管理更为关心；
除了DAP之外，数据库安全中如加密，脱敏，正在越来越受欢迎，以应对快速变化的安全合规要求。

用户当今面临的最常见的数据库安全威胁：

• SQL注入攻击：利用数据库自身的漏洞发起攻击
• 缓冲区溢出：目前最为普遍的数据库漏洞之一
• 默认设置或弱口令：可能被黑客或内部人员恶意利用
• 配置错误：一些可能形成安全风险的配置项
• 用户帐户破坏：这可能是指黑客或内部人员对低权限账户或默认账户的恶意或非法操作
• 数据所在地——各种数据隐私，健康，财务和信用卡的相关规定需要对数据访问进行限定，对数据泄露事件进行通知。

企业和组织对哪些数据保护技术更加关注？

根据Gartner的2016年最终用户安全支出调查， 52％的受访者表示计划实施DCAP和DLP，同时，53％有意实施UEBA，42％计划在未来两年实施CASB。用户对这些技术的兴趣越来越大，主要是由于组织对数据保护日益增长的关注，以及遵守诸如欧盟“一般数据保护条例”（GDPR）等更强的法规。

提供给用户的数据库安全建议：

1. 将DCAP、DAP及DLP 集成，以获得更安全的数据库

大数据平台，云SaaS和云计算IaaS环境的出现正在推动企业回顾他们的安全策略，而过去他们只需要专注于传统RDBMS和文件服务器。可选的途径是有限的，并且由于许多组织的数据环境的孤立性质，它们缺乏安全策略的一致性和同步性。DCAP(data-centric audit and protection )以数据为中心的审计和保护)可以使组织能够跨非结构化，半结构化和结构化的存储库或类别，集中管理数据安全策略和访问控制。DCAP工具还可以对敏感数据集进行分类和发现。此外，可以通过集中管理和监视用户和管理员的权限和活动来访问敏感数据。让DCAP基于数据安全治理（DSG）策略基础上，为企业提供数据保护各环节上的核心能力。

Gartner总结的DCAP在数据保护的各个环节提供的核心功能：

• 提供一个单一的管理控制台，使数据安全策略应用和流程策略可以跨越多个数据存储库（这里称为数据仓库）；
• 能够在所有数据孤岛分类和发现敏感数据; RDBMS或数据仓库; 非结构化数据文件格式; 半结构化格式，如SharePoint; 半结构文件共享平台，如Hadoop; 以及SaaS或基础设施即服务（IaaS）环境中的云存储；
• 设置和监控特殊用户身份（包括高权限用户，如管理员和开发人员）访问数据的权限；
• 通过可定制的安全预警来监测用户实时访问数据的行为，阻止不可接受的用户行为、访问类型、或物理访问；
• 创建用户可访问数据和安全事件的审计报告，其中可定制的详细信息可以满足明确的管理规定或标准的审计流程要求；
• 防止个别用户和管理员访问特定的数据。这也可以通过加密，令牌标记化，脱敏，校正或阻止来实现。

DCAP核心功能的总结

DAP(Data Audit and Protection)——作为DCAP的关键类别组成，因为其提供了数据库中发生的活动的警报和报告。技术功能包括对数据库的发现和分类，漏洞管理，应用关联分析，入侵防御，对非结构化数据安全性的支持，身份和访问管理集成以及风险管理支持。

DLP(Data leakage prevention)——提供对敏感数据的可见性，无论是在端点上使用，在网络上运动还是静止在文件共享上。使用DLP，组织可以实时保护从端点或电子邮件中提取的非结构化数据。DLP工具不用于扫描和分类数据库内的数据。DCAP和DLP之间的根本区别在于DCAP工具更多地侧重于组织内用户访问的数据，而DLP更侧重于将离开组织的数据。

数据加密——考虑性能和成本，企业倾向只为最敏感的数据保存进行数据库加密。在加密方法上户还关心保格式加密和无钥匙加密等技术，加密密钥和休眠数据的令牌问题也是令用户头痛的问题。

数据脱敏——数据脱敏技术旨在防止滥用敏感数据，该技术为用户提供虚构且实用的数据，与加密和令牌标记化不同，它是一种不可逆过程，其中数据经历单向转换。反过来，数据不能通过篡改来显示，因为它是自动化的，而不是基于授权。这些方法已被金融部门广泛采用。此外，其他行业（如医疗保健，政府和石油和天然气）的用户对脱敏的兴趣也在增长。

2、数据库迁移云端后的安全考虑

云数据库云服务的日益普及，对数据库安全环境产生了重大影响。今天的数据库安全客户期望灵活的部署选项，并希望能够在具备本地部署、云端部署和混合部署的产品中进行选择。为此，数据库安全市场中的更多厂商正在开发和引入基于云版本的服务。看看去年主要的产品开发公告，数据库安全厂商清楚地看到了提供超越本地部署的选项的巨大价值。

虽然越来越多的数据库服务正在向云端转移，但类似线下的数据安全策略一样需要。迁移到云可以降低成本；然而，如果没有合适的安全产品，这些节省的成本很可能被抵销掉。DBaaS是一个不错的选择，然而，许多组织在综合评估后觉得无法采用；常见的原因是由于安全性要求，基于云的数据库服务在安全上的能力不足。一些DBaaS平台开始提供平台自身的数据安全保护、检测以及数据驱动的安全功能（例如，Microsoft Azure SQL和Amazon Redshift）。然而，更复杂的功能如访问权限分析，DCAP，数据脱敏，集中管控等，只能通过云平台之外的独立第三方服务商提供。

作者：安华金和