三步走提高數(shù)據(jù)庫安全防護

數(shù)據(jù)庫，作為一種數(shù)據(jù)的結(jié)合體，由于它的結(jié)構(gòu)性和系統(tǒng)性，必將成為未來企業(yè)甚至是國家最常使用的數(shù)據(jù)集合存在形式，對于它的防護，我們必須一步一個腳印，做到縝密而又細致的防護才能避免這個數(shù)據(jù)堡壘從內(nèi)部崩塌。同時對于那些敏感的數(shù)據(jù)，采用具有本源防護效果的加密軟件無疑是最佳的選擇！信息時代，我們的身邊充斥各種數(shù)據(jù)。在信息處理終端和傳輸、交流的互聯(lián)網(wǎng)上，數(shù)據(jù)更是當之無愧的主角。在數(shù)據(jù)中，有一種綜合體，它是數(shù)據(jù)的堡壘，同時也是個人、企業(yè)甚至是國家最依賴的數(shù)據(jù)綜合體——數(shù)據(jù)庫。數(shù)據(jù)庫的形成讓人們調(diào)用數(shù)據(jù)，處理數(shù)據(jù)、分類數(shù)據(jù)變得更容易。而數(shù)據(jù)庫的重要性也使得它的防護變得異常重要。

    數(shù)據(jù)泄漏的安全問題正迅速增長
    據(jù)統(tǒng)計，發(fā)生在2012年的數(shù)據(jù)泄露事件達到了前所未有的高度，共計1428起。然而，就在三年之前，此類事件只有727起。
    很顯然，與以往任何時候相比，各類機構(gòu)如今更容易遭遇大規(guī)模數(shù)據(jù)泄露的侵襲。原因何在？越來越多的數(shù)據(jù)以在線形式出現(xiàn)在越來越多的地方，從而更加容易被訪問。黑客們在獲取數(shù)據(jù)方面變得更加成熟與有效。與此同時，網(wǎng)絡(luò)變得更加復雜也更加容易被滲透。為了保護數(shù)據(jù)，各個機構(gòu)需要掌握更多安全知識并付出更多努力。
    意圖染指數(shù)據(jù)庫的犯罪份子正蠢蠢欲動
    對于網(wǎng)絡(luò)犯罪分子來說，數(shù)據(jù)庫（包括結(jié)構(gòu)化數(shù)據(jù)）是他們夢寐以求的獵物。對于心懷不軌的人們來說，安全性不足的數(shù)據(jù)庫能夠讓他們夢想成真。然而，遭遇數(shù)據(jù)泄露的機構(gòu)面對的卻是一場成本高昂的可怕的噩夢。在保護重要數(shù)據(jù)方面，很多機構(gòu)并不完全了解自己掌握哪些數(shù)據(jù)、如何儲存、數(shù)據(jù)動向及其使用者的情況。最近一份數(shù)據(jù)泄露調(diào)查報告顯示，92% 以上記錄在案的數(shù)據(jù)泄露事件都與數(shù)據(jù)庫有關(guān)。
   數(shù)據(jù)庫本身的性能問題導致了安全防護優(yōu)先級的“不被重視”
    將數(shù)據(jù)庫安全擱置在優(yōu)先名單最下方的合理原因有很多。數(shù)據(jù)庫的可用性要求非常高，因此補丁周期很長而且對于傳統(tǒng)的 DBA （數(shù)據(jù)庫管理） 安全軟件不甚友好。理想的安全解決方案需要有效保護結(jié)構(gòu)化數(shù)據(jù)并且不能對數(shù)據(jù)功能與可用性造成明顯的影響。
    而一個幾乎普遍存在的問題就是：人們未能了解機密信息并對其進行合理的分類從而有效預防各類數(shù)據(jù)損失。很多 DLP（數(shù)據(jù)丟失防護）解決方案能夠處理數(shù)據(jù)庫中儲存的結(jié)構(gòu)數(shù)據(jù)格式，例如社會保險或銀行賬戶號碼。然而，健康記錄或病例這樣的自定義數(shù)據(jù)格式怎么辦？諸如電郵、文本、PDF 與圖形等非結(jié)構(gòu)性敏感數(shù)據(jù)的快速增長更是造成了嚴峻的挑戰(zhàn)。2011 IDC 研究表明，非結(jié)構(gòu)化數(shù)據(jù)的增速超過了結(jié)構(gòu)化數(shù)據(jù)并且將在未來十年內(nèi)占到所有數(shù)據(jù)的 90%。此類數(shù)據(jù)在企業(yè)內(nèi)部流轉(zhuǎn)并且經(jīng)過多種設(shè)備進行儲存與訪問。
   數(shù)據(jù)庫的監(jiān)管力度問題也是一大隱患
    有時候，人們很難確定敏感數(shù)據(jù)是否遭遇了危險或者流轉(zhuǎn)到了何地。機密數(shù)據(jù)的拷貝份量往往超過組織所知曉的數(shù)字。數(shù)據(jù)庫經(jīng)常被拷貝后用于測試與研發(fā)并且添加或升級新代碼。
    這些數(shù)據(jù)庫在哪里？它們是否打上了補丁或者經(jīng)過了升級？漫不經(jīng)心的安全操作可能使得人們無法有效追查此類情況。了解數(shù)據(jù)庫弱點的網(wǎng)絡(luò)犯罪分子能夠利用這些惡意數(shù)據(jù)庫發(fā)起網(wǎng)絡(luò)攻擊。
    “任誰可以訪問數(shù)據(jù)庫”成了數(shù)據(jù)安全問題的癥結(jié)之一
    另外一個被人們忽視的數(shù)據(jù)安全問題就是數(shù)據(jù)訪問——什么人可以訪問數(shù)據(jù)，他們?nèi)绾问褂脭?shù)據(jù)。如今，重要數(shù)據(jù)可供員工與“值得信任”的他人使用：合約商、供應(yīng)商與合作伙伴。大家都希望可以隨時在任何地方訪問數(shù)據(jù)。通常，DBA （數(shù)據(jù)庫管理員）為用戶提供授權(quán)，而后者就能夠接觸到工作所需以外的更多信息。更為理想的數(shù)據(jù)安全需要采用“最少權(quán)限”原則——也就是根據(jù)角色或工作職能需要來授予權(quán)限。
   專家支招 三步走提高數(shù)據(jù)庫安全防護
    【發(fā)現(xiàn)】對于 DLP（數(shù)據(jù)丟失防護）來說，首先，數(shù)據(jù)發(fā)現(xiàn)至關(guān)重要。這其中包括確定文件所有人以及他們掌握文件的原因和使用方法。確認文件使用者以及文件是否得到保護的最佳方法就是掃描服務(wù)器、數(shù)據(jù)庫、硬盤與網(wǎng)絡(luò)設(shè)備。這樣便可以知道數(shù)據(jù)在網(wǎng)絡(luò)中的生成、儲存、訪問、更改與傳送的方法，進而探測、識別、分析與了解靜態(tài)數(shù)據(jù)與動態(tài)數(shù)據(jù)的情況。
    【分級】其次，必須通過政策與控制找到儲存在資料庫中的靜態(tài)數(shù)據(jù)并且對其進行分級與保護。高級數(shù)據(jù)庫探查軟件能夠搜索整個網(wǎng)絡(luò)從而找到數(shù)據(jù)生產(chǎn)情況與惡意數(shù)據(jù)庫并掃描資料庫。人們應(yīng)該定期進行網(wǎng)絡(luò)掃描，從而查找那些違反政策規(guī)定的行為并且發(fā)送警報以立刻進行糾正。能夠?qū)?shù)據(jù)進行索引與分級的解決方案使得人們可以更加輕松地去詢問與了解敏感數(shù)據(jù)及其使用情況、所有者、儲存地與擴增情況。此外，數(shù)據(jù)庫中的數(shù)據(jù)應(yīng)該得到加密與備份。
    【防護】我們還需要明白那些在網(wǎng)絡(luò)中流轉(zhuǎn)的動態(tài)數(shù)據(jù)也是有效數(shù)據(jù)探查的重要內(nèi)容。捕捉技術(shù)能夠收集與記錄數(shù)周、甚至數(shù)月的網(wǎng)絡(luò)流量。它們分析數(shù)據(jù)類型從而確定標準數(shù)據(jù)與專有數(shù)據(jù)，然后制定有效的政策以防止和控制數(shù)據(jù)內(nèi)容流傳到網(wǎng)絡(luò)之外。如果想要防止內(nèi)部人士惡意破壞網(wǎng)絡(luò)，那么就必須要對數(shù)據(jù)進行加密。當設(shè)備損失或失竊時，還要防止他人進行未授權(quán)訪問。
    對于數(shù)據(jù)庫或者數(shù)據(jù)本身來說，各種防護策略最好的選擇就是加密。因為加密的特殊性，數(shù)據(jù)即使由于種種原因泄漏，加密防護依然存在，真實內(nèi)容也不會暴露，可以說是一種徹底、長久的防護之法。在現(xiàn)今多樣的安全環(huán)境和防護需求的背景下，使用國際先進的多模加密技術(shù)無疑是最好的選擇。