3、MySQL数据库层
前面几层如果都做的不够安全的话,在这层也几乎是岌岌可危了。但我们依然可以做些事情的。
启用 safe-update 选项,避免没有 WHERE 条件的全表数据被修改;
将 binlog 的保存周期加长,便于后续的审计、审查;
应用账号只赋予SELECT、UPDATE、INSERT权限,取消DELETE权限。把需要DELETE权限的逻辑改成用UPDATE实现,避免被物理删除;
需要真正删除时,交由DBA先备份后再物理删除;
可以采用Percona的SQL审计插件,据说还有macfee的插件;
还可以采用触发器来做一些辅助功能,比如防止黑客恶意篡改数据。
4、后记
数据安全可以做的事情很多,本文也只是罗列了一些比较简单可快速实施的方案。每个企业应有自己的安全策略规范,每一位参与者都应该心怀敬畏,努力遵守这些必要的规范,不使信息安全成为空谈。
真正的数据安全,是靠所有人的意识安全作为支撑的,没有这个意识靠机制、制度、工具都是不靠谱。于
