对电信企业而言,数据库安然相当首要。试想充值系统出了标题问题会如何?手机用户在月末查询账单的时辰系统呈现标题问题会如何?下面是某电信企业数据库运维人员在数据库安然方面的一些心得,和启明星斗数据库安然专家给出的建议,希看能对大年夜家有所开导和借鉴。
1、数据库版本与组件选择
1. 对数据库利用较高、较不变的数据库版本,避免一些BUG触发激发的营业影响,好比一个ORA-04031,激发告终算系统share_pool的错,导致利用法度链接掉败。
2. 建库的时辰,明白出产数据库所需要利用的Oracle组件,只选择知足利用环境的最小组件集。
2、表治理
1. 备份表、姑且表,规范化模式治理。
2. 利用自力的模式存储自力的营业对象。
3. DDL成立备份或姑且对象申明变动治理存在风险,需要强化变动治理。
4. 一个schema中,存储的都是为完成某一个系统或模块而设计的表,不克不及将其他用处的数据表同化存储在该schema下。
5. 将姑且表、备份表进行自力的schema存储治理,分手备份表和姑且表,同时可以或许避免对营业数据存储造成空间碎片和机能影响,从而可以或许有效的降落数据备份和清理把持对营业运行的影响。
3、用户权限安然
1. 对尽无需要的用户,清理出数据库。如用户Scott为Oracle的测试用户,在出产环境中,应当删除该用户及其相干对象,或将其转移到测试环境中。
2. 对已被 LOCKED 的Oracle内置用户,我们需要评估是不是在出产环境中利用,假定不需要利用,则可删除相干组件和用户。
3. 严格用户角色治理,避免权限授予太高,收回用户所具有的 resource 角色,成立权限限制加倍严格的自定义角色。
4. 收回用户中不需要的角色。
4、拜候安然
1. 规范数据库治理软件,实现治理软件的尺度、统一化。
2. 为了不连进数据库的利用法度存在后门,造成数据库安然隐患,查抄所有连接数据库法度的安然性。经由过程利用门户监控登录数据库,避免对数据库的直接把持。
3. 对已连接的IP网段进行规范化、统一化的治理,每季度进行权限复核把持,对系统所属IP、用户进行权限梳理工作。对员工进行安然培训,加强员工的系统安然不雅念,做到细心把持。
4. 确认拜候数据库的主机是不是为已知用户,利用专门进行保护用的主机与数据库进行连接,避免利用公用dblink对数据库直接把持。系统保护人员在某一天接到投诉,发现一个表下面的列少了,还好是一个状况列,先手动insert进往,随后找启事,发现是因为利用人员用dblink链接测试库时辰,链接到了出产库中。因而可知数据库安然是多么首要。
5.审计 SYSDBA 的把持行动。
6.对首要营业表的查询等行动,全数进行审计。
5、备份安然
1.成立备份机制,对关头营业的系统搭建NBU、DP、DSG等备份治理软件,针对营业环境、系统压力、带库资本等成立合适的备份策略,本单位都是在闲时每周做一次全备,一天一个增备,且把持系统有crontab或是自带磁带备份首要目次。
2.对关头营业系统可利用当前主流容灾软件手艺Oracle Goldengate、DG、Quest Shareplex等,在营业岑岭期,好比我们系统账期营业较忙,CPU idle每天1%或0%。那么这个时辰就有需要考虑利用同步复制成立备机,将账期营业迁徙至备库,不影响主库的营业。
安然专家点评
启明星斗数据库安然专家觉得:作者对数据库安然的思虑很周全,不但有版本治理、库表治理、权限限制等数据库本身治理,还有对外部拜候的安然考虑,包含客户端法度治理、利用系统安然查抄、客户端IP节制,乃至有DBA及首要把持的审计和数据备份。当然,数据库安然涵盖的范围很广,进侵防御、拜候身份认证、数据加密等其他安然办法也应考虑,假定一个安然治理人员从数据库扶植伊始就考虑到这些身分,数据泄漏或窜改的风险就会大年夜大年夜降落。
数据库的风险首要来历于两个方面,一个是外部报复打击,另外一个是内部人员(有权限人员)的背规把持(用心或无意),本文中的案例,就是有权限人员的误把持。要消弭此类把持带来的风险,除要进行严格的权限节制外,对高权限用户的把持审计也很是首要,同时要做好数据备份,一旦产生标题问题可以有解救办法。
值得寄望的是,数据库安然办法要兼顾机能影响和安然结果两个方面。例如,良多单位采购自力数据库审计产品而非简单开启数据库本身审计功能,除合适第三方审计要求外,也是为了呵护数据库机能不受本身审计模块开启的影响。