数据库权限控制须严格遵循最小必要原则,禁用高危角色与 all 授权,限制敏感操作、强化连接安全、全量审计关键行为并确保日志防篡改,同时联动防火墙实现高危操作实时拦截与异常行为自动响应。
权限控制:最小化授权原则落地
数据库权限必须严格遵循“最小必要”原则,只授予用户完成工作所必需的权限。避免使用 DBA 或sysadmin等高危角色直接分配给业务账号。重点控制以下几类权限:
- 对象级权限:按表、视图、存储过程单独授权,禁用GRANT ALL ON *;敏感表(如user_info、payment_log)仅开放 SELECT,写操作需经审批流程
- 语句级限制 :禁用DROP、TRUNCATE、ALTER DATABASE 等高风险 DDL 命令;对开发账号默认关闭 CREATE PROCEDURE 和EXECUTE
- 连接与会话控制:限制 IP 白名单、设置登录失败锁定策略(如 5 次失败锁 30 分钟)、强制启用 SSL 连接,防止凭证明文传输
操作审计:关键行为全量捕获
审计不是事后翻日志,而是实时感知高危动作。需覆盖三类核心操作:
- 数据变更类:INSERT/UPDATE/DELETE 影响行数≥1000、WHERE 条件为空(全表更新)、修改含“password”“token”“salt”字段的操作,立即触发告警
- 结构变更类:所有 DDL 语句(尤其是ALTER TABLE … DROP COLUMN、DROP INDEX)必须记录执行人、时间、原始 SQL、影响对象及执行前后的表结构快照
- 权限变更类:GRANT/REVOKE 操作需关联审批单号,审计日志中强制留痕“谁在何时为何目的授权给谁”,禁止匿名或脚本自动授权
审计日志管理:防篡改 + 可追溯
日志本身是审计依据,必须确保其完整性与可用性:
- 日志独立存储:不与业务库共用磁盘或实例,建议写入专用只读审计库或推送至 SIEM 系统(如 Splunk、ELK)
- 保留周期合规:操作类日志至少保存 180 天,涉及个人信息或支付的场景须满足 GDPR/ 等保 2.0 要求(通常≥1 年)
- 访问隔离:审计日志表仅开放 SELECT 给安全团队,禁止 DBA 直接删改;启用数据库原生日志签名(如 Oracle Unified Audit Trail、MySQL 8.0+ audit log checksum)
自动化响应:从审计到阻断
高级审计需联动防护能力,不能只停留在“看见”:
- 高危操作实时拦截:例如检测到DELETE FROM users WHERE 1=1,由数据库防火墙(如 GreenSQL、Imperva)自动终止会话并通知负责人
- 异常行为建模:基于历史操作建立用户行为基线(如某运维账号通常 9:00–18:00 操作,且 95% 为 SELECT),当出现凌晨 2 点执行 UPDATE 时自动提升风险等级
- 审计结果闭环:每月生成《权限复核报告》,自动标记超期未用权限、越权访问频次 TOP5 账号,并推动 ITSM 工单整改
