当为中等规模的公司去存放它们的数据的选择增加时，对应的，去确保它们的数据库和数据存储的安全也有了很多选择。曾经只有大公司才有的保存方式，现在已有许多可用的数据存储可供选择，并各种规模的公司都可以选用。

　　用户很少能看见数据库，数据库通常隐藏在后端，作为不可访问的后端系统的一部分。然而，它们是应用的无名英雄，特别是在Web应用中，它们是动态网站得以实现的最核心。如果没有它们，现代的电子商务将是不可能的。

　　在数据库和其他存储中的数据保护也是法规遵从的一部分，这些法规诸如萨班斯-奥克斯利法案（Sarbanes-Oxley）、格林李治布利（Gramm-Leach Bliley）和健康保险流通与责任行为法规（Health Insurance Portability and Accountability acts），以及像支付卡行业（PCI）数据安全标准（Payment Card Industry (PCI) Data Security Standard）的行业准则。

　　访问控制是关键

　　数据库和数据存储安全的支柱是访问控制、加密、监视和配置或架构。对于中等规模的公司，这归结为两点：最佳实践和安全工具的组合。大多数数据库和数据存储产品有一些内置的安全工具，但是可以根据需要增加其他工具，以提高安全性。

　　访问控制是至关重要的。一般来说，只允许系统管理员具有对任何数据存储的完全访问。他们需要完全访问以添加用户帐户和维护系统。

　　应当基于最少权限原则授予其他用户访问权限，这意味着只允许访问他们的工作职能需要的数据，仅此而已。他们不应该完全操纵数据库，并具有写访问权限——添加、修改或删除数据的能力——应基于同样的原则限制他们。对于大多数用户，读访问权限可能是足够的。

　　虽然可以将用户帐户添加到数据库中以用于访问，而理想的情况是通过你现有的身份和访问管理平台来控制访问权限。这意味着将用户访问绑定在活动目录（Active Directory）、轻量级目录访问协议（LDAP）或你使用的任何目录服务中的概况文件中。

　　高度可选择的访问控制

　　作中。应通过仅单一的接口进行访问，该接口从你的系统而不是从个人用户自动传输数据。

　　面向客户的网站从来都不应该直接访问任何公司数据库。应该只通过Web应用程序的中间层进行访问，然后通过一个具有有限访问权限的来宾帐户。不要使用内嵌到大多数数据库的默认“sa”帐户，它具有强大的管理员权限。创建一个专门的受限帐户，并放置它的用户ID和密码到服务器端的属性文件中，这些文件从网站无法访问。永远不要将这样的用户ID和密码硬编码到通过黑客窥探的眼睛能发现的应用程序中。

　　内部工作

　　另外一个数据库访问需要关注的是自己员工的恶意使用，即所谓的内部威胁。这就是监管的用武之地。所有对数据库和其他数据存储的访问应该记录日志，以确定谁访问了这些存储以及他们访问了什么内容。这样的工具有来自Crossroads系统公司的StrongBox DBProtector。DBProtector是一台网络设备，它检查每个到数据库的SQL请求，并提供了恶意活动的警报。

　　另一种提供访问控制和日志记录设施的产品是来自Decru的DataFort。DataFort和Active Directory以及LDAP密切配合以限制访问，并且可以使用智能卡对后端数据存储提供进一步的保护。

　　来自Imperva公司的SecureSphere数据库安全网关是另一个用来监控对数据库的访问的主导产品。SecureSphere是来自Imperva的一个套件的一部分，该套件还包括著名的Web应用防火墙，由于网站和应用程序是频繁受到对数据库的恶意访问的来源，所以这两者真的是天作之合。SecureSphere检查用户概况文件，并对数据库进行脆弱性评估。

　　Guardium公司提供了一个软件套件用于保护数据库和后端数据存储。它也集成了访问控制、审计、日志记录和监控。该产品可以与像DataFort这样的其他设备一起工作以提供加密。

　　当然，除了这些专门的工具以外，传统的防火墙日志和入侵检测系统也可用于监控对数据库的访问。虽然粗糙且不像其他工具那样彻底，但他们可以使现金短缺的中等规模公司达到保护目的。

　　合规性增加了风险

　　下一个大问题是加密，像访问控制一样，该问题是一个合规性问题。例如，在PCI下，信用卡信息必须经过加密后存储。该标准在这一点是明确的。

　　在这里，同样，有许多可用于中端市场的工具。但在开始实施一个昂贵的加密计划以前，请务必对存储的数据做一次彻底的风险分析。它是敏感的客户数据吗？如果一旦暴露出来，将使公司违反规章、承担法律责任或使得客户身份被盗？抑或它是用于销售数据建模的市场数据，一旦丢失便不能追溯到各个客户？首先需要加密。其次是标准化安全流程，如数据库硬化和访问控制。

　　理想情况下，作为您安全计划的一部分，应分隔风险较高的数据，以至于可以给它们相应更高的保护级别。分层的存储方法可避免在系统上投入昂贵的控制，混合高、低风险数据，正好可以保护高风险的数据。

　　尤其对于后端的数据存储，关键是加密传输到数据存储的数据。这可以通过诸如虚拟专用网（VPN）这样的加密隧道来实现。在这方面，DataFort再次提供了面向中端市场的产品。

　　来自CipherMax公司的另一款产品使用256比特的高速加密引擎，用于存储区域网络管理和单台设备中的加密。来自Revinetix公司的Sentio HD 8000系列产品也具有内置的附带网络存储能力的加密功能。

　　除了这些工具以外，中等规模的公司还可以遵循基本的规则，架构它们的系统以保护数据存储资产。

　　首先，确保所有数据库和存储位于防火墙之后。这听起来是显而易见的，但那意味着在你的非军事区（DMZ）的内部防火墙之后。数据库应该永远不要放置在DMZ中，在那里它们更容易受到来自Internet的恶意攻击。

　　其次，如果可能，不要在单台服务器构建多个数据库。如果它在预算中，每个数据库应该有它自己的服务器，这样可以基于它存储数据的风险级别提供保护。

　　第三，在Web应用中，确保开发人员添加代码以过滤和审查用户输入。这意味着去防止SQL注入攻击，该攻击可以允许对数据库恶意访问。除了确保Web编码实践的安全以外，像在开放的Web应用程序安全项目中，也可以使用Web应用防火墙以阻止SQL和其他注入式攻击。

　　有了这些选择的范围，一个中等规模的公司在确保其数据库和后端数据存储安全性上应该没有问题。它只是必须确定它有什么样的数据、数据位于什么地方以及它的风险级别。