企业数据库是承载企业信息资产安全的重要介质和平台，即使在云和大数据时代，其仍然是信息安全工作者不可忽略的危险地带。由于关系数据库可以支持范围广泛的不同类型的 应用程序和专利使用，他们通常在多个层次应用安全。安全的每一层被设计用于特定目的，并且可以用于提供授权规则。为了获得访问你最值得信赖的信息，用户必 须在其中的一个或多个层次具有相应的权限。作为一名数据库或系统管理员，你的工作是要确保障碍是适当的高度——也就是说，你的安全模型同时考虑到了安全性 和可用性。本文将介绍如何从服务器、网络、操作系统三个纬度考虑保障企业数据库安全。

服务器级安全

数据库应用程序是否安全，依赖于它所运行的服务器是否安全。因此，首先考虑数据库被托管的物理服务器上的安全设置是非常重要的。在规模较小，配置简单的组 织，你可能只有一台机器需要确保安全。大型组织可能要安置多台服务器。这些服务器可能地理上是分布的，甚至是复杂的集群配置。

你应该采取保护服务器的第一步是确定哪些用户和应用程序应该能够访问它。现代数据库平台一般都是通过网络进行访问，并且大多数数据库管理任务可以远程执 行。因此，除了物理维护数据库的硬件，没有必要有人能够直接物理访问一个数据库。这也是非常重要的物理保护数据库以防止非授权用户访问数据库文件和数据备 份。如果非授权用户可以获得你服务器的物理访问，就更难以防止进一步的破坏。

网络级安全

如前所述，数据库在各自的操作系统平台上工作，为用户提供他们所需要的数据。因此，一般的操作系统和网络级的安全也适用于数据库。如果基础平台是不安全 的，这对于数据库是显著的漏洞。因为它们被设计为网络应用程序，你必须采取合理步骤，以确保只有特定的客户端可以访问这些机器。

为保护数据库的一些标准“最佳实践”包括限制网络和网络地址直接访问计算机。例如，你可能会实施路由规则和包过滤，以确保你的内部网络上只有特定用户才可以与服务器进行通信。

举个例子，微软的SQL Server数据库平台使用默认的1433 TCP端口为客户端与数据库之间进行通信。如果你明确知道有没有必要让你网络的特定子网用户能够直接访问该服务器，那么阻止网络访问此TCP端口是明智 的。这样做还可以防止恶意用户和代码(如病毒)从网络上攻击本机。另一个安全的做法是，改变服务器监听的默认端口。这可以很简单地通过使用图1所示的服务 器网络实用工具来完成。

(责任编辑：)