上周和一个做 DBA 的朋友吃饭,他跟我吐槽了一件事:他们公司最近被勒索病毒盯上,数据库被加密,备份系统也被破坏,花了 80 万赎金才把数据拿回来。更讽刺的是,出事前两天他们刚做完一次安全演练,演练报告上写着“系统安全性良好,无明显风险”。我听完的第一反应不是同情,而是想起自己这些年见过的太多类似案例——数据库安全运维这件事,绝大多数企业都在“裸奔”。
很多人觉得数据库安全就是装个防火墙、设个密码、定期备份就完事了。但现实往往是,防火墙规则配得比蜘蛛网还密,结果内部员工随便拿个 U 盘就能把数据拷走;密码设得又长又复杂,却被运维人员贴在显示器上;备份倒是天天做,却从未验证过恢复流程,真到出事才发现备份文件早已损坏。这些不是段子,是我亲眼见过的事。数据库安全运维的核心,从来不是技术多先进,而是每一个基础动作能否做到位、做扎实。
我见过最离谱的案例,是一家金融机构的核心交易数据库,运维权限居然用一个共享账号管理。六七个 DBA 轮流用同一个账号登录操作,出问题根本查不出是谁干的。后来他们上线了一套权限审计系统,要求每个人使用独立账号、双因素认证、操作全程录像。刚开始 DBA 们集体抗议,嫌麻烦。直到有一次,系统日志发现有人在凌晨 3 点批量修改用户存款利率,锁定账号后抓到是外包人员干的。从那以后,再没人嫌登录流程烦了。权限管理这件事,就像家里的门锁——锁芯再高级,你天天把钥匙放在门口垫子底下,跟没锁一样。
备份和恢复这块儿更是重灾区。大部分企业只关注“有没有备份”,从不管“备份能不能恢复”。我认识一个运维主管,他定下一条规矩:每个月必须做一次全量恢复演练,而且不能提前通知,随机抽取一个业务系统的备份文件,现场恢复、现场验证。第一次演练,恢复用了 6 个小时,业务系统直接挂了 4 小时,整个公司炸锅。半年后,恢复时间压缩到 40 分钟,而且所有备份文件都经过验证。他说了一句让我印象深刻的话:“备份像买保险,只有真正理赔过一次,才知道自己买的够不够。”
现在很多企业都在提“零信任”,但到了数据库层面,往往仍停留在“内网就安全”的旧思维里。我接触过一家互联网公司,他们的数据库直接暴露在公网上,只靠一个简单的 VPN 做跳板。安全团队建议加一层堡垒机,业务部门嫌影响访问速度,拖了一年没动。结果被黑客扫描到端口,暴力破解弱口令,直接拖走了 200 万条用户信息。事后复盘发现,堡垒机的部署成本不到损失的千分之一。安全运维里最贵的成本,从来不是防护手段,而是事后补救的代价。
数据加密这块儿,很多企业做得也不够彻底。我见过不少公司,传输层加密做得很好,SSL/TLS 证书都用最新的,但数据落地后却是明文存储。一旦存储介质被盗或泄露,等于把家底全拱手送人。更麻烦的是,很多核心业务系统是二三十年前的老系统,根本不支持加密功能,要改造就得推倒重来。一个银行朋友说,他们为了给一套老旧核心系统做数据加密,专门开发了一个中间件层,所有读写操作先经过中间件加解密,硬生生把三年改造周期压缩到八个月。这种“打补丁”的方式虽然不优雅,但在现实面前,比等完美方案靠谱得多。
安全运维还有一个容易被忽视的维度——人员流动。数据库密码、配置参数、备份策略,这些关键信息往往只掌握在少数几个人手里。一旦这些人离职或跳槽,交接稍有不慎,就会留下安全隐患。我碰到过一个案例,某公司核心数据库的 root 密码只有离职半年的前 DBA 知道,新任 DBA 申请重置密码,走了两周流程还没批下来。中间这段时间,数据库基本处于“半瘫痪”状态。后来这家公司建立了密码保险箱机制,所有敏感信息定期轮换,每次访问都有审批记录。看上去多了一步流程,但至少不会因为一个人离职卡住整个系统。
想说一点关于人的事。我见过太多企业把安全运维当成“成本项”,觉得这是 IT 部门的事,跟业务无关。但数据库安全运维的本质其实是风险管理。你愿意花多少钱、投入多少精力,取决于你评估自己数据值多少钱。一家刚起步的创业公司,可能一个简单的备份策略就够了;但一家存着几百万用户金融数据的平台,如果还在用共享账号、明文密码,那就是在赌博。安全运维没有银弹,也没有一劳永逸的方案。它更像打太极,你得始终盯着那口气,稍有松懈就会出事。而大多数时候,出事的原因不是技术不够,而是人太懒、心太大、想太少。
