关系型数据库安全治理：账号权限、审计、加密与脱敏

关系型数据库通常保存企业最核心的数据：用户、订单、支付、合同、权限、财务。数据库安全不是只靠防火墙，也不是只靠 DBA 手工管控。它必须进入账号、权限、网络、加密、审计、备份和研发流程。

安全治理的原则很简单：最小权限、最小暴露、可审计、可追责、可恢复。

账号分离

生产环境不要共享管理员账号。应用、报表、运维、备份、迁移、审计都应使用独立账号。

建议：

• 每个应用一个账号。
• 读写账号分离。
• 生产和测试账号分离。
• 临时账号设置过期时间。
• 管理员操作通过堡垒机或审计代理。

共享账号最大的问题是无法追责。出了事故，只知道某个账号执行了操作，却不知道是谁。

最小权限

应用账号通常只需要访问自己的库和表，不需要全局权限。读服务不应拥有写权限，普通应用不应拥有 DDL 权限。

高危权限包括：

• DROP。
• SUPER 或等价管理员权限。
• FILE。
• 用户管理权限。
• 复制配置权限。
• 全库 SELECT。

权限变更应走审批，并定期回收不用的账号和授权。

网络边界

数据库不应暴露公网。访问应限制在私有网络、安全组、Kubernetes NetworkPolicy、VPN 或堡垒机范围内。

生产建议：

• 只允许应用网段访问数据库端口。
• 禁止办公网直连生产库，或通过审计通道访问。
• 管理入口启用 MFA。
• 定期扫描公网暴露。

很多数据库事故来自“临时开放端口忘了关”。

加密

加密包括传输加密、静态加密和字段加密。

• 传输加密：使用 TLS 防止网络窃听。
• 静态加密：磁盘、快照、备份加密。
• 字段加密：对身份证、银行卡等高敏字段应用层加密。

字段加密会影响查询、排序和索引，要结合业务设计。不是所有字段都适合加密后继续高频查询。

审计日志

数据库审计应记录高风险操作：

• 登录失败。
• 权限变更。
• DDL。
• 大批量导出。
• DELETE/UPDATE 无 WHERE。
• 敏感表访问。

审计日志应集中保存，防止被本机篡改。对核心库，审计日志保留周期要满足合规要求。

脱敏与测试数据

开发测试环境不应直接使用生产明文数据。如果必须使用生产抽样，应脱敏：

• 手机号、邮箱部分掩码。
• 身份证、银行卡不可逆处理。
• 姓名替换。
• 地址泛化。
• token、密码直接清空。

日志和 BI 导出也要做敏感字段治理。很多泄露不是从主库发生，而是从测试库、报表文件或日志系统发生。

备份安全

备份是完整数据副本，必须加密、隔离和审计。删除备份的权限要严格控制。对核心备份可以启用不可变存储，防止勒索攻击删除恢复点。

备份下载和恢复操作应有审批记录。

总结

关系型数据库安全治理不是单点工具，而是制度和工程结合。账号分离、最小权限、网络边界、加密、审计、脱敏、备份保护必须一起做。数据库越核心，越要让每一次访问和变更都有边界、有记录、有恢复手段。