保障MySQL資料安全的一些建議

資料是企業核心資產，資料對企業而言是最重要的工作之一。稍有不慎，極有可能發生資料無意洩露，甚至被黑客惡意竊取的風險。每年業界都會傳出幾起大事件，某知名或不知名的公司被脫褲（拖庫的諧音，意思是整個資料庫被黑客盜取）之類的。

從資料安全上也可以分為外網安全及內部操作安全，下面分別討論一下。

內部操作安全策略

1. 是否**dba全部許可權

試想，如果dba沒許可權了，日常db運維的活，以及緊急故障處理，該怎麼實施呢？因此，建議在沒有成熟的自動化運維平台前，不應該粗暴的**dba的太多許可權，否則可能會導致工作效率降低的，甚至dba有一種不被信任的負面情緒。

2. mysql層安全策略

3. mysql賬號許可權規則

mysql> delete from mysql.user where user!='root' or host!='localhost'; flush privileges; mysql> drop database test;

4. 關於資料備份

記住，做好資料全量備份是系統崩潰無法修復時的最後一概救命稻草。

備份資料還可以用來做資料審計或是用於資料倉儲的資料來源拉取之用。

一般來說，備份策略是這樣的：每天一次全備，並且定期對binlog做增備，或者直接利用binlog server機制將binlog傳輸到其他遠端主機上。有了全備+binlog，就可以按需恢復到任何時間點。

特別提醒：當採用xtrabackup的流式備份時，考慮採用加密傳輸，避免備份資料被惡意擷取。

外網安全策略

事實上，作業系統安及應用安全要比資料庫自身的安全策略更重要。同理，應用程式及其所在的伺服器端的系統安全也很重要，很多資料安全事件，都是通過**漏洞入侵到應用伺服器，再去探測資料庫，最後成功拖庫。

1. 作業系統安全建議

2. 應用安全建議

最後我們想說，任何高明的安全策略，都不如內部員工的安全意識來的重要。以前發生過一起案例，公司內有位員工的pc不慎中毒，結果導致內網資料被盜。

安全無小事，每個人都應銘記於心。在資料安全面前，可以適當犧牲一些便利性，當然也不能太過，否則可能得不償失。