数据库是企业数据存放最集中的位置，所以众多企业在关注数据安全时也是最早加以重视的环节。很多的技术手段在网络安全的发展过程中也已经逐渐成熟，并被很多企业采用。下面我们把针对数据库安全所设计到的相关技术进行逐一分析。

2.3.1.1数据库审计

数据库审计是数据保护最为成熟的技术手段之一，典型来讲数据库审计可以实现如下目的。

ü 对数据库自身的加固和敏感数据的定义及发现；

ü 全面监测数据库超级账户、临时账户等重要账户的数据库操作;

ü 全面监控数据库敏感数据的批量访问和异常访问，能实时警告和阻拦；

ü 智能识别数据库异常操作，对发现的非法违规操作能及时告警响应;

ü 提供挖掘式的分析视图，可主动发现潜在的数据库风险；

ü 详细记录数据库操作信息，并提供丰富的审计信息查询方式和报表，方便安全事件定位分析，事后追查取证。

当然有些数据库审计产品也集成了数据库防火墙以及针对账号及权限等功能，能够对某些数据访问进行阻断以及账号权限的限制。

2.3.1.2数据脱敏

企业数据不仅只在内部流转，很多时候还需要外部进行共享，这也是国家大数据发展战略规划的需求和前提。如何保证数据在产生、交换、共享等场景下的数据安全可用和数据使用价值？这让数据脱敏安全技术成为热门。《网络安全法》的正式实施，数据脱敏被纳入法规遵从的需求。《网络安全法》要求：数据流动过程中应重视保护个人隐私、社保信息、资产信息、医疗信息等敏感信息的安全。为满足这一要求，数据共享时需要使用数据脱敏技术。特别是当数据应用于开发、测试、培训等环境时，安全风险较大，使用真实数据将临严重数据泄露的风险。

数据脱敏又称数据去隐私化或数据变形，是在给定的规则、策略下对敏感数据进行变换、修改的技术机制，能够在很大程度上解决敏感数据的安全使用的问题。而脱敏技术又根据其数据使用目的和方式的不同分为静态脱敏和动态脱敏。

l 静态脱敏

静态脱敏适用于将数据抽取出生产环境脱敏后分发至测试、开发、培训、数据分析等场景。静态脱敏是将数据抽取进行脱敏处理后，下发至测试库。开发、测试、培训、分析人员可以随意取用测试数据，并进行读写操作，脱敏后的数据与生产环境隔离，满足业务需要的同时保障生产数据库的安全，静态脱敏可以概括为数据的“搬移并仿真替换”。

l 动态脱敏

动态脱敏适用于不脱离生产环境，对敏感数据的查询和调用结果进行实时脱敏。动态脱敏能够对生产库返回的数据进行实时脱敏处理，确保返回数据可用而安全。例如应用需要呈现部分数据，但是又不希望应用账号可以看到全部数据；运维人员需要维护表结构，进行系统调优，但是不希望运维人员可以检索或导出真实数据，动态脱敏可以概括为“边脱敏，边使用”

2.3.1.3数据库特权账号管理

数据库的特权账号管理是数据库安全防护很重要的一个环节，从一些案例统计来看，大量的数据泄漏可能都是在这个环节产生的。DBA的权限太高，而且很多企业DBA的权限是共享的，这就导致一方面具有权限的管理员如果拷数据轻而易举，另一方面即使拷贝了也不容易审计到。

当然，不仅数据库特权账号存在数据泄漏风险，应用，甚至网络设备等都存在这种特权账号造成的安全隐患。所以对特权账号的防护，一方面可能集成在了数据库审计方案的功能里，还有客户单独构建特权账号管理系统对企业整个应用，数据库以及相关其他设备形成统一的特权账号管理平台。