數(shù)據(jù)庫管理員們的七個(gè)安全好習(xí)慣
無論數(shù)據(jù)庫管理員�����、信息安全專業(yè)人士還是同時(shí)身兼兩種角色��,負(fù)責(zé)維護(hù)企業(yè)數(shù)據(jù)庫當(dāng)中所保存信息的技術(shù)團(tuán)隊(duì)必須建立良好的安全習(xí)慣��、從而實(shí)現(xiàn)份內(nèi)的保護(hù)目標(biāo)���。這些實(shí)踐立足于堅(jiān)實(shí)的數(shù)據(jù)安全規(guī)劃����,但根據(jù)本周由獨(dú)立甲骨文用戶團(tuán)隊(duì)(簡(jiǎn)稱IOUG)發(fā)布的《2013年企業(yè)數(shù)據(jù)安全調(diào)查》顯示,對(duì)于大部分企業(yè)來說制定這一規(guī)劃本身已經(jīng)是個(gè)不易實(shí)現(xiàn)的任務(wù)��。
今年的IOUG數(shù)據(jù)安全調(diào)查特別關(guān)注了數(shù)據(jù)庫安全形勢(shì)���,并以2013年業(yè)界領(lǐng)先與落后企業(yè)的實(shí)際處理方式為基礎(chǔ)�����、詳盡分析了他們?cè)?a href='/map/shujukuanquan/' style='color:#000;font-size:inherit;'>數(shù)據(jù)庫安全領(lǐng)域的表現(xiàn)���。這份調(diào)查報(bào)告所提到的“領(lǐng)先企業(yè)”是指那些切實(shí)完成了三項(xiàng)基準(zhǔn)保護(hù)措施(在今天的文章中都將提到)的公司,即:數(shù)據(jù)庫內(nèi)容敏感性或者受限識(shí)別���、數(shù)據(jù)靜態(tài)或者動(dòng)態(tài)加密以及監(jiān)控生產(chǎn)數(shù)據(jù)庫的非授權(quán)訪問或者修改等�。相比之下�,落后企業(yè)是指那些在以上幾個(gè)方面表現(xiàn)欠佳的公司。根據(jù)調(diào)查結(jié)果來看�,約有22%的受訪方被歸結(jié)為領(lǐng)導(dǎo)企業(yè)、約有20%屬于落后企業(yè)�,其它則占據(jù)中游位置。
不出意外�,各領(lǐng)導(dǎo)企業(yè)在報(bào)告中稱他們?cè)庥鰯?shù)據(jù)泄露事故的機(jī)率僅為落后企業(yè)的三分之一。探討這些機(jī)構(gòu)在日常數(shù)據(jù)庫安全實(shí)踐中的處理方案能為我們提供寶貴的教訓(xùn)�����,從而指導(dǎo)大家在數(shù)據(jù)庫安全保障規(guī)程中取得更理想的效果。
1. 他們了解敏感數(shù)據(jù)身在何處
除非一家企業(yè)清楚地掌握著內(nèi)部敏感數(shù)據(jù)的所在位置�,否則他們很難有針對(duì)性地圍繞這些信息開展保護(hù)及控制工作��。根據(jù)IOUG的調(diào)查���,目前約有七成企業(yè)表示他們明確了解哪些數(shù)據(jù)庫當(dāng)中包含有敏感或者受管信息���。這一結(jié)果與三年前相比出現(xiàn)了顯著改善?�;叵?010年����,只有一半多一點(diǎn)的受訪企業(yè)能夠自信地作出這樣的回應(yīng)。這一點(diǎn)不僅對(duì)于設(shè)置控制機(jī)制意義重大�����,同時(shí)也會(huì)在控制手段部署完成后確保企業(yè)自身以更為主動(dòng)的姿態(tài)發(fā)現(xiàn)泄露事故--而不會(huì)傻傻等著外部組織發(fā)現(xiàn)并提醒此類事故的發(fā)生�。
“大多數(shù)遭遇數(shù)據(jù)泄露事故的企業(yè)自身對(duì)此都毫不知情,壞消息往往是由第三方傳達(dá)過來的�,”甲骨文公司數(shù)據(jù)庫安全產(chǎn)品管理主管Roxana Bradescu指出���。“很顯然���,沒人希望自己的數(shù)據(jù)泄露問題是由新聞媒體或者第三方發(fā)現(xiàn)并通知給自己的���。在這類控制機(jī)制的輔助下,我們至少能夠發(fā)現(xiàn)自身是否遭遇了數(shù)據(jù)泄露問題--這本身就是一種巨大的數(shù)據(jù)安全進(jìn)步��?!?br />
2.他們頻繁組織審計(jì)工作
企業(yè)正越來越多地就針對(duì)數(shù)據(jù)庫的訪問方式進(jìn)行審計(jì),但審計(jì)工作的頻率仍然有待提高��?���;叵?010年,能夠每月至少進(jìn)行一次數(shù)據(jù)安全審計(jì)的企業(yè)僅占受訪總數(shù)的15%�,時(shí)至今日這一比例已經(jīng)上升為23%。
在這方面�,先進(jìn)企業(yè)取得了大大超過落后企業(yè)的顯著優(yōu)勢(shì),有33%的先進(jìn)企業(yè)聲稱會(huì)以一個(gè)月甚至更短時(shí)間為審計(jì)周期�����,而只有8%的落后企業(yè)能達(dá)到同樣的頻率。
Unisphere研究公司研究分析師Joseph McKendrick是IOUG調(diào)查的負(fù)責(zé)人���,他提醒稱實(shí)際上審計(jì)本身也很可能只是面子工程���。
舉例來說,一位匿名受訪者曾在調(diào)查過程中告訴他����,“我們確實(shí)會(huì)對(duì)高權(quán)限用戶的訪問情況進(jìn)行審計(jì)�,但并不針對(duì)他們的具體操作內(nèi)容。換言之���,我們能夠準(zhǔn)確把握誰在什么時(shí)候訪問過數(shù)據(jù)庫���,但在大多數(shù)情況下卻不知道他們到底干了些什么。在這方面��,我們還需要實(shí)施額外的審計(jì)規(guī)程���?!?br />
3.他們監(jiān)控?cái)?shù)據(jù)庫活動(dòng)與系統(tǒng)變更
審計(jì)在安全工作中非常重要�����,但連續(xù)監(jiān)控在察覺潛在問題、預(yù)防災(zāi)難性數(shù)據(jù)泄露方面的表現(xiàn)則更為出色���。遺憾的是�����,只有極少數(shù)企業(yè)手中掌握著進(jìn)行各類未授權(quán)活動(dòng)檢測(cè)所必需的實(shí)踐方案以及技術(shù)����。根據(jù)調(diào)查顯示�,只有37%的受訪企業(yè)有能力在二十四小時(shí)以內(nèi)檢測(cè)出未經(jīng)授權(quán)的數(shù)據(jù)庫訪問或者變更?����!叭狈ο嚓P(guān)保護(hù)措施及技能的企業(yè)數(shù)量非常龐大�����,”Bradescu指出���?�!拔覀兿M?yīng)商能在數(shù)據(jù)庫當(dāng)中內(nèi)置安全策略�����,我們也希望能夠監(jiān)控所有指向數(shù)據(jù)庫的活動(dòng)�。”
盡管在高權(quán)限用戶活動(dòng)��、失敗登錄信息以及簽到等活動(dòng)當(dāng)中推行監(jiān)控機(jī)制的企業(yè)數(shù)量目前已經(jīng)超過一半����,但其它方面的針對(duì)性監(jiān)控仍然不夠普遍。舉例來說����,只有37%的企業(yè)會(huì)持續(xù)追蹤指向敏感表或者列的寫入活動(dòng)��,而且只有31%的企業(yè)會(huì)持續(xù)追蹤指向敏感表或者列的讀取活動(dòng)�。
4. 他們通過加密防止數(shù)據(jù)庫內(nèi)容泄露
即使一套數(shù)據(jù)庫已經(jīng)擁有最為先進(jìn)的控制與監(jiān)控機(jī)制,沒有堅(jiān)實(shí)的加密方案作為依托����,所有投入仍然有可能化為泡影。問題在于,缺乏偽裝或者加密的數(shù)據(jù)內(nèi)容���,攻擊者很可能徹底繞過數(shù)據(jù)庫平臺(tái)本身�����、通過數(shù)據(jù)庫所使用的數(shù)據(jù)存儲(chǔ)文件獲取其中保存的信息�����,Bradescu提醒道�����。
“因此�,除非我們將數(shù)據(jù)加密機(jī)制落實(shí)到位�����,否則我們無法避免攻擊者繞開數(shù)據(jù)庫的迂回式攻擊活動(dòng)��,"她解釋道�����。"數(shù)據(jù)加密可以說是數(shù)據(jù)庫安全的真正基礎(chǔ),因?yàn)榇蠹抑挥幸源藶榍疤岵拍茉跀?shù)據(jù)庫當(dāng)中實(shí)現(xiàn)有效的安全控制效果�。”
根據(jù)IOUG調(diào)查報(bào)告顯示�����,數(shù)據(jù)庫加密工作在過去五年來獲得了穩(wěn)定的發(fā)展與進(jìn)步���。在2008年��,只有57%的企業(yè)表示已經(jīng)在部分或者全部數(shù)據(jù)庫當(dāng)中采用了加密機(jī)制�����,而時(shí)至今日這一比例已經(jīng)上升至70%����。
5.他們通過控制措施防止應(yīng)用程序旁支攻擊
與上一條類似��,在數(shù)據(jù)庫安全保護(hù)方面擁有豐富經(jīng)驗(yàn)的企業(yè)也懂得確保訪問來源單純性的重要意義�����,即只允許利用相關(guān)接入應(yīng)用訪問保存在數(shù)據(jù)庫中的信息���。
“我們希望確保自己的數(shù)據(jù)庫不會(huì)受到他人訪問�,除非對(duì)方經(jīng)由相關(guān)應(yīng)用程序����,”Bradescu表示。
根據(jù)IOUG調(diào)查報(bào)告��,先進(jìn)企業(yè)與落后企業(yè)在這一領(lǐng)域的表現(xiàn)相差10%��。只有28%的先進(jìn)企業(yè)允許用戶直接利用臨時(shí)工具或者電子表格訪問來自數(shù)據(jù)庫的數(shù)據(jù)���,但落后企業(yè)中允許這種方式的比例則達(dá)到38%�����。
6.他們管理高權(quán)限用戶的訪問流程
超級(jí)用戶賬戶擁有開啟數(shù)據(jù)庫這座財(cái)富王國大門的鑰匙����,因此需要經(jīng)過嚴(yán)格管理以確保數(shù)據(jù)庫內(nèi)容不受侵?jǐn)_�����。所謂超級(jí)用戶賬戶不僅包括由數(shù)據(jù)庫管理員所使用的管理賬戶�,同時(shí)也涵蓋那些被賦予高度數(shù)據(jù)庫權(quán)限�����、旨在簡(jiǎn)化開發(fā)者在編程時(shí)與數(shù)據(jù)庫對(duì)接的應(yīng)用程序賬戶��。
“越來越多的企業(yè)開始監(jiān)控自己的數(shù)據(jù)資產(chǎn)并采取措施對(duì)超級(jí)用戶加以標(biāo)注���,”McKendrick寫道?����!安贿^大多數(shù)企業(yè)仍然無法切實(shí)監(jiān)控高權(quán)限用戶的全部在線活動(dòng)�。”
在這方面領(lǐng)導(dǎo)企業(yè)與落后企業(yè)之間形成了鮮明的差距����。約有一半的領(lǐng)先企業(yè)報(bào)告稱自身已經(jīng)制定措施、旨在防止擁有高權(quán)限的用戶篡改敏感信息��;相比之下���,只有22%的落后企業(yè)能夠做到這一點(diǎn)。在所有企業(yè)當(dāng)中����,制定特權(quán)用戶控制機(jī)制的企業(yè)占34%���,這一比例與2010年相比高出約10%--當(dāng)時(shí)只有不足分四之一的企業(yè)具備此類防范意識(shí)。
7. 他們只在生產(chǎn)數(shù)據(jù)庫內(nèi)處理生產(chǎn)數(shù)據(jù)
在分級(jí)品質(zhì)保障以及開發(fā)等領(lǐng)域中�����,草率地傳播生產(chǎn)數(shù)據(jù)長久以來一直成為數(shù)據(jù)庫安全規(guī)劃的致命軟肋�����。強(qiáng)大的數(shù)據(jù)庫安全規(guī)劃要求生產(chǎn)數(shù)據(jù)必須始終駐留在配備全面控制機(jī)制的數(shù)據(jù)庫環(huán)境下�,而不應(yīng)接觸其它缺乏同樣安全保障的普通環(huán)境當(dāng)中。
根據(jù)IOUG調(diào)查報(bào)告顯示��,約有半數(shù)受訪企業(yè)仍然會(huì)在數(shù)據(jù)中心之外使用實(shí)時(shí)生產(chǎn)數(shù)據(jù)���。
“除此之外����,盡管數(shù)據(jù)安全意識(shí)在最近幾年有所增強(qiáng)�,但自2008年首次引入調(diào)查報(bào)告以來、實(shí)時(shí)數(shù)據(jù)流出業(yè)務(wù)環(huán)境的情況仍然時(shí)有發(fā)生��,”McKendrick指出。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試�,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情;
? 想學(xué)習(xí)CDA考試教材����,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情;
? 想加入CDA考試題庫��,點(diǎn)擊>>> “CDA題庫” 了解CDA考試詳情�;
? 想了解CDA考試含金量,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情����;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營許可證編號(hào):京B2-20210330