數(shù)據(jù)庫管理員們的七個安全好習(xí)慣
無論數(shù)據(jù)庫管理員、信息安全專業(yè)人士還是同時身兼兩種角色��,負(fù)責(zé)維護(hù)企業(yè)數(shù)據(jù)庫當(dāng)中所保存信息的技術(shù)團(tuán)隊(duì)必須建立良好的安全習(xí)慣、從而實(shí)現(xiàn)份內(nèi)的保護(hù)目標(biāo)���。這些實(shí)踐立足于堅(jiān)實(shí)的數(shù)據(jù)安全規(guī)劃��,但根據(jù)本周由獨(dú)立甲骨文用戶團(tuán)隊(duì)(簡稱IOUG)發(fā)布的《2013年企業(yè)數(shù)據(jù)安全調(diào)查》顯示����,對于大部分企業(yè)來說制定這一規(guī)劃本身已經(jīng)是個不易實(shí)現(xiàn)的任務(wù)��。
今年的IOUG數(shù)據(jù)安全調(diào)查特別關(guān)注了數(shù)據(jù)庫安全形勢��,并以2013年業(yè)界領(lǐng)先與落后企業(yè)的實(shí)際處理方式為基礎(chǔ)��、詳盡分析了他們在數(shù)據(jù)庫安全領(lǐng)域的表現(xiàn)�。這份調(diào)查報(bào)告所提到的“領(lǐng)先企業(yè)”是指那些切實(shí)完成了三項(xiàng)基準(zhǔn)保護(hù)措施(在今天的文章中都將提到)的公司,即:數(shù)據(jù)庫內(nèi)容敏感性或者受限識別��、數(shù)據(jù)靜態(tài)或者動態(tài)加密以及監(jiān)控生產(chǎn)數(shù)據(jù)庫的非授權(quán)訪問或者修改等��。相比之下���,落后企業(yè)是指那些在以上幾個方面表現(xiàn)欠佳的公司�����。根據(jù)調(diào)查結(jié)果來看�����,約有22%的受訪方被歸結(jié)為領(lǐng)導(dǎo)企業(yè)�、約有20%屬于落后企業(yè),其它則占據(jù)中游位置��。
不出意外���,各領(lǐng)導(dǎo)企業(yè)在報(bào)告中稱他們遭遇數(shù)據(jù)泄露事故的機(jī)率僅為落后企業(yè)的三分之一�。探討這些機(jī)構(gòu)在日常數(shù)據(jù)庫安全實(shí)踐中的處理方案能為我們提供寶貴的教訓(xùn)���,從而指導(dǎo)大家在數(shù)據(jù)庫安全保障規(guī)程中取得更理想的效果����。
1. 他們了解敏感數(shù)據(jù)身在何處
除非一家企業(yè)清楚地掌握著內(nèi)部敏感數(shù)據(jù)的所在位置�����,否則他們很難有針對性地圍繞這些信息開展保護(hù)及控制工作�����。根據(jù)IOUG的調(diào)查���,目前約有七成企業(yè)表示他們明確了解哪些數(shù)據(jù)庫當(dāng)中包含有敏感或者受管信息�。這一結(jié)果與三年前相比出現(xiàn)了顯著改善����。回想2010年�,只有一半多一點(diǎn)的受訪企業(yè)能夠自信地作出這樣的回應(yīng)。這一點(diǎn)不僅對于設(shè)置控制機(jī)制意義重大�����,同時也會在控制手段部署完成后確保企業(yè)自身以更為主動的姿態(tài)發(fā)現(xiàn)泄露事故--而不會傻傻等著外部組織發(fā)現(xiàn)并提醒此類事故的發(fā)生���。
“大多數(shù)遭遇數(shù)據(jù)泄露事故的企業(yè)自身對此都毫不知情�����,壞消息往往是由第三方傳達(dá)過來的��,”甲骨文公司數(shù)據(jù)庫安全產(chǎn)品管理主管Roxana Bradescu指出���?�!昂茱@然���,沒人希望自己的數(shù)據(jù)泄露問題是由新聞媒體或者第三方發(fā)現(xiàn)并通知給自己的。在這類控制機(jī)制的輔助下���,我們至少能夠發(fā)現(xiàn)自身是否遭遇了數(shù)據(jù)泄露問題--這本身就是一種巨大的數(shù)據(jù)安全進(jìn)步��?��!?br />
2.他們頻繁組織審計(jì)工作
企業(yè)正越來越多地就針對數(shù)據(jù)庫的訪問方式進(jìn)行審計(jì),但審計(jì)工作的頻率仍然有待提高�����?��;叵?010年���,能夠每月至少進(jìn)行一次數(shù)據(jù)安全審計(jì)的企業(yè)僅占受訪總數(shù)的15%,時至今日這一比例已經(jīng)上升為23%��。
在這方面,先進(jìn)企業(yè)取得了大大超過落后企業(yè)的顯著優(yōu)勢�����,有33%的先進(jìn)企業(yè)聲稱會以一個月甚至更短時間為審計(jì)周期���,而只有8%的落后企業(yè)能達(dá)到同樣的頻率。
Unisphere研究公司研究分析師Joseph McKendrick是IOUG調(diào)查的負(fù)責(zé)人���,他提醒稱實(shí)際上審計(jì)本身也很可能只是面子工程�����。
舉例來說�,一位匿名受訪者曾在調(diào)查過程中告訴他��,“我們確實(shí)會對高權(quán)限用戶的訪問情況進(jìn)行審計(jì)�����,但并不針對他們的具體操作內(nèi)容��。換言之�����,我們能夠準(zhǔn)確把握誰在什么時候訪問過數(shù)據(jù)庫,但在大多數(shù)情況下卻不知道他們到底干了些什么���。在這方面����,我們還需要實(shí)施額外的審計(jì)規(guī)程���?���!?br />
3.他們監(jiān)控?cái)?shù)據(jù)庫活動與系統(tǒng)變更
審計(jì)在安全工作中非常重要�����,但連續(xù)監(jiān)控在察覺潛在問題����、預(yù)防災(zāi)難性數(shù)據(jù)泄露方面的表現(xiàn)則更為出色。遺憾的是����,只有極少數(shù)企業(yè)手中掌握著進(jìn)行各類未授權(quán)活動檢測所必需的實(shí)踐方案以及技術(shù)���。根據(jù)調(diào)查顯示,只有37%的受訪企業(yè)有能力在二十四小時以內(nèi)檢測出未經(jīng)授權(quán)的數(shù)據(jù)庫訪問或者變更��?����!叭狈ο嚓P(guān)保護(hù)措施及技能的企業(yè)數(shù)量非常龐大���,”Bradescu指出?���!拔覀兿M?yīng)商能在數(shù)據(jù)庫當(dāng)中內(nèi)置安全策略,我們也希望能夠監(jiān)控所有指向數(shù)據(jù)庫的活動��?����!?br />
盡管在高權(quán)限用戶活動�、失敗登錄信息以及簽到等活動當(dāng)中推行監(jiān)控機(jī)制的企業(yè)數(shù)量目前已經(jīng)超過一半,但其它方面的針對性監(jiān)控仍然不夠普遍�����。舉例來說,只有37%的企業(yè)會持續(xù)追蹤指向敏感表或者列的寫入活動��,而且只有31%的企業(yè)會持續(xù)追蹤指向敏感表或者列的讀取活動�。
4. 他們通過加密防止數(shù)據(jù)庫內(nèi)容泄露
即使一套數(shù)據(jù)庫已經(jīng)擁有最為先進(jìn)的控制與監(jiān)控機(jī)制,沒有堅(jiān)實(shí)的加密方案作為依托�,所有投入仍然有可能化為泡影。問題在于�����,缺乏偽裝或者加密的數(shù)據(jù)內(nèi)容��,攻擊者很可能徹底繞過數(shù)據(jù)庫平臺本身����、通過數(shù)據(jù)庫所使用的數(shù)據(jù)存儲文件獲取其中保存的信息,Bradescu提醒道��。
“因此�,除非我們將數(shù)據(jù)加密機(jī)制落實(shí)到位,否則我們無法避免攻擊者繞開數(shù)據(jù)庫的迂回式攻擊活動����,"她解釋道��。"數(shù)據(jù)加密可以說是數(shù)據(jù)庫安全的真正基礎(chǔ)����,因?yàn)榇蠹抑挥幸源藶榍疤岵拍茉跀?shù)據(jù)庫當(dāng)中實(shí)現(xiàn)有效的安全控制效果����。”
根據(jù)IOUG調(diào)查報(bào)告顯示����,數(shù)據(jù)庫加密工作在過去五年來獲得了穩(wěn)定的發(fā)展與進(jìn)步。在2008年��,只有57%的企業(yè)表示已經(jīng)在部分或者全部數(shù)據(jù)庫當(dāng)中采用了加密機(jī)制��,而時至今日這一比例已經(jīng)上升至70%��。
5.他們通過控制措施防止應(yīng)用程序旁支攻擊
與上一條類似�,在數(shù)據(jù)庫安全保護(hù)方面擁有豐富經(jīng)驗(yàn)的企業(yè)也懂得確保訪問來源單純性的重要意義��,即只允許利用相關(guān)接入應(yīng)用訪問保存在數(shù)據(jù)庫中的信息����。
“我們希望確保自己的數(shù)據(jù)庫不會受到他人訪問�����,除非對方經(jīng)由相關(guān)應(yīng)用程序�����,”Bradescu表示�����。
根據(jù)IOUG調(diào)查報(bào)告�����,先進(jìn)企業(yè)與落后企業(yè)在這一領(lǐng)域的表現(xiàn)相差10%��。只有28%的先進(jìn)企業(yè)允許用戶直接利用臨時工具或者電子表格訪問來自數(shù)據(jù)庫的數(shù)據(jù)���,但落后企業(yè)中允許這種方式的比例則達(dá)到38%。
6.他們管理高權(quán)限用戶的訪問流程
超級用戶賬戶擁有開啟數(shù)據(jù)庫這座財(cái)富王國大門的鑰匙����,因此需要經(jīng)過嚴(yán)格管理以確保數(shù)據(jù)庫內(nèi)容不受侵?jǐn)_。所謂超級用戶賬戶不僅包括由數(shù)據(jù)庫管理員所使用的管理賬戶,同時也涵蓋那些被賦予高度數(shù)據(jù)庫權(quán)限�、旨在簡化開發(fā)者在編程時與數(shù)據(jù)庫對接的應(yīng)用程序賬戶。
“越來越多的企業(yè)開始監(jiān)控自己的數(shù)據(jù)資產(chǎn)并采取措施對超級用戶加以標(biāo)注����,”McKendrick寫道?��!安贿^大多數(shù)企業(yè)仍然無法切實(shí)監(jiān)控高權(quán)限用戶的全部在線活動����?��!?br />
在這方面領(lǐng)導(dǎo)企業(yè)與落后企業(yè)之間形成了鮮明的差距����。約有一半的領(lǐng)先企業(yè)報(bào)告稱自身已經(jīng)制定措施�����、旨在防止擁有高權(quán)限的用戶篡改敏感信息�����;相比之下���,只有22%的落后企業(yè)能夠做到這一點(diǎn)�。在所有企業(yè)當(dāng)中���,制定特權(quán)用戶控制機(jī)制的企業(yè)占34%�,這一比例與2010年相比高出約10%--當(dāng)時只有不足分四之一的企業(yè)具備此類防范意識�。
7. 他們只在生產(chǎn)數(shù)據(jù)庫內(nèi)處理生產(chǎn)數(shù)據(jù)
在分級品質(zhì)保障以及開發(fā)等領(lǐng)域中,草率地傳播生產(chǎn)數(shù)據(jù)長久以來一直成為數(shù)據(jù)庫安全規(guī)劃的致命軟肋�。強(qiáng)大的數(shù)據(jù)庫安全規(guī)劃要求生產(chǎn)數(shù)據(jù)必須始終駐留在配備全面控制機(jī)制的數(shù)據(jù)庫環(huán)境下,而不應(yīng)接觸其它缺乏同樣安全保障的普通環(huán)境當(dāng)中�����。
根據(jù)IOUG調(diào)查報(bào)告顯示��,約有半數(shù)受訪企業(yè)仍然會在數(shù)據(jù)中心之外使用實(shí)時生產(chǎn)數(shù)據(jù)���。
“除此之外�����,盡管數(shù)據(jù)安全意識在最近幾年有所增強(qiáng)��,但自2008年首次引入調(diào)查報(bào)告以來���、實(shí)時數(shù)據(jù)流出業(yè)務(wù)環(huán)境的情況仍然時有發(fā)生��,”McKendrick指出���。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情���;
? 想學(xué)習(xí)CDA考試教材�����,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情�����;
? 想加入CDA考試題庫��,點(diǎn)擊>>> “CDA題庫” 了解CDA考試詳情����;
? 想了解CDA考試含金量���,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情����;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330