“互联网之父”罗伯特·卡恩在2015年预测：“全球将在十年后进入全数字化时代！“随着云计算、大数据、移动互联网等 技术的日趋成熟，未来，数字化技术将进入人类活动的全部领域，到那时，每个人将拥有一颗数字的”芯“，社交、生活、工作、娱乐全部基于网络应用，人们的所 有行为将以数据的形式，游走在与现实生  活平行的网络空间中。数字时代的来临，究竟是好事还是坏事？相信每个人心中都充满了疑惑。

信息技术瞬息万变，享受数字生活带来的便利是人们所渴望的，但是，当数字可以承载一个人的全部行为，数据泄露将意味着对 方可以洞悉你的一切。便利背后潜藏的安全威胁，是整个人类社会面临的重大挑战。6月17日，2016年网络安全峰会在北京富力万丽酒店召开，安华金和作为 专业的数据库安全企业受邀参加，高级安全顾问谭峻楠发表演讲。对于数字时代，各行业都将面临的数据安全威胁及如何应对，安华金和表达了自己的思考。

大多数用户对于传统IT架构的需求以稳健性为主，业务系统运转正常最为重要，安全性则为次要考虑。通过与用户接触，我们发现大多数用户对于数据库安全普遍存在误区。

误区一：数据库自身的安全保障体系已经很完备，具有足够的安全控制手段。

事实上，要做到完备的数据库安全防护难度很大。据统计，从2007年至今，CVE漏洞库一共公布数据库漏洞2000余个，其中核心系统中应用最广泛的oracle数据库漏洞即占了一半的比例。如此数量的安全漏洞，将直接引发数据泄露风险。《Verzion2015年数据泄露调查报告》同样印证了这个观点， 报告中显示“数据泄漏事件发生的主要原因中，90%来自数据库威胁。” 事实证明，用户对于数据库的安全防护远远不够。

误区二：内部人员是可信的

从数据库系统的开发到运维，过程中牵涉的开发人员、第三方运维人员、内部人员等可以通过不同途径直接访问数据库。当发现篡改商业数据、窃取国家机密，可以带来丰厚的利益，这时，传统可信的人也成为风险源。

误区三：当前我们在网络层的数据库防护手段已经足够保证数据库不被非法访问

当下，大多数用户已意识到信息安全的重要性，并进行网络安全产品的部署，但用户常常陷入误区：认为只要部署了堡垒机、网 络防火墙、IPS/IDS等传统网安产品，就可以保障内部的核心数据库不受威胁。事实上，黑客们曾多次公开表示：绕过WAF访问数据库“轻而易举“。网络 防火墙不对数据库通讯协议进行控制，IPS/IDS也无法准确防御针对数据库的攻击，即使避过了所有外部攻击，开发时种植在应用系统中的后门程序如何监 管？

由于人们在意识上的误区，数据库系统常常直接暴露在网络中而不设防。针对数据库潜在安全风险，安华金和提出构建数据库安全纵深防御体系：

巡检梳理：数据库漏洞扫描

对数据库中的业务系统、IP地址、管理人员、安全策略等进行梳理，找到数据库安全弱点，对漏洞、弱口令，低策略，权限宽泛等内容提出加固建议，增强数据库自身免疫力。

主动防御：数据库防火墙

利用虚拟补丁技术，防止外部漏洞攻击；通过内部人员访问权限的控制，防止误操作和非授权行为；通过阈值控制，防止数据批量大面积泄密。

底线防守：数据库加密、数据库脱敏

通过对数据库核心数据加密，防止敏感数据明文泄露；通过静态、动态脱敏技术，对核心数据进行脱敏处理，使敏感数据自由应用于开发、测试、培训、数据分析等各类场景需求。

事后追查：数据库审计

实时记录数据库操作，进行细粒度审计，对数据库遭受到的风险行为进行告警。通过对用户访问行为的记录、分析，帮助用户生成合规报告、事故追根溯源，提高数据资产安全性。

对于传统IT架构中的数据库安全问题，用户尚且存在诸多误区，那么随着近年来大数据、云计算技术的迅猛发展，当用户逐步将业务向云平台转移之前，是否会着重考虑云端数据安全问题？

IT架构的变化让用户的关注点从稳定性向安全性转变

当云平台逐渐成为互联网时代的IT基础设施，用户的需求也正在发生转变。据统计，云计算所面临的挑战中，75%的用户在安全性上犹豫不决，而在这 75%的用户中，对于数据安全问题抱有疑虑的用户又占到74%。谭峻楠总结：对于传统IT架构的需求，稳定性排在首位，而现在，当核心数据资产转移至云环 境中，用户最为担心的一定是安全性。谭峻楠着重介绍了云环

下数据库面临的三大主要安全威胁：

威胁一：虚拟机内部攻击

虚拟机处于资源池中，任一台虚拟机都可以从内部发起针对数据库的攻击行为，如何有效防护由云内部发生的的攻击行为依然是个难题。

威胁二：云服务商人员切入

复杂的云环境需要大量运维人员，包括内部运维人员、业务开发运维人员、云服务商运维人员等各类角色，拥有数据库访问权限，如果不能严格管理和控制各类人员访问权限，内部泄露风险将成为最大隐患。

威胁三：数据泄露风险加大

传统IT架构下，数据分库存储。云环境下，这种相对隔离的架构被打破，大量数据高度集中，一个数据库被攻破，整个数据安全体系将被瓦解。

云平台的应用尚未完全成熟，诸多安全问题悬而未解，安华金和基于自身多年的数据库研发经验，将现有的数据库安全防护体系延伸至云端，提出云端数据安全防护思路：

云端内外攻击的防御

将安华金和数据库防火墙部署于云端的虚拟机上，利用独有的云端部署和云端处理能力，对于虚拟机内部及虚拟机之间的访问行为进行监控和过滤，实时阻断内部攻击行为。

云端大数据的审计

云平台上高度集中的巨量数据，对于数据库审计产品的性能提出挑战，安华金和数据库审计产品具备大数据审计能力，实时审计云端数据库访问行为，发现事件关联关系。在保证每秒百万级的数据处理速度同时，微秒、毫秒级的低延迟性将业务速度影响降至最低。

云端敏感数据加密

敏感数据放在云端，用户最担心的是可控性，对此，安华金和数据库保险箱可实现，只有掌握密钥的应用系统或企业用户才能得到真实数据，并确保密钥非公共，只掌握在用户自己手中。

从传统IT架构到趋于成熟的云服务平台，我们在追求更便捷、更智能的道路上不断探索和前进。如同高楼拔地而起前必然先稳固地基，信息系统亦是如此， 人类大踏步迈入数字时代，但我们对安全的需求不应放松一刻。当每个人的行为和财产变得高度数字化，数据库安全的重要程度已不容忽视，安华金和愿与用户携 手，为企业信息系统提供专业数据库安全防护，让我们追求进步的脚步自如而坚定。