【2013年12月17日 51CTO外電頭條】無論數(shù)據(jù)庫管理員、信息安全專業(yè)人士還是同時身兼兩種角色，負責(zé)維護企業(yè)數(shù)據(jù)庫當(dāng)中所保存信息的技術(shù)團隊必須建立良好的安全習(xí)慣、從而實現(xiàn)份內(nèi)的保護目標(biāo)。這些實踐立足于堅實的數(shù)據(jù)安全規(guī)劃，但根據(jù)本周由獨立甲骨文用戶團隊（簡稱IOUG）發(fā)布的《2013年企業(yè)數(shù)據(jù)安全調(diào)查》顯示，對于大部分企業(yè)來說制定這一規(guī)劃本身已經(jīng)是個不易實現(xiàn)的任務(wù)。

[[92272]]

今年的IOUG數(shù)據(jù)安全調(diào)查特別關(guān)注了數(shù)據(jù)庫安全形勢，并以2013年業(yè)界領(lǐng)先與落后企業(yè)的實際處理方式為基礎(chǔ)、詳盡分析了他們在數(shù)據(jù)庫安全領(lǐng)域的表現(xiàn)。這份調(diào)查報告所提到的“領(lǐng)先企業(yè)”是指那些切實完成了三項基準(zhǔn)保護措施（在今天的文章中都將提到）的公司，即：數(shù)據(jù)庫內(nèi)容敏感性或者受限識別、數(shù)據(jù)靜態(tài)或者動態(tài)加密以及監(jiān)控生產(chǎn)數(shù)據(jù)庫的非授權(quán)訪問或者修改等。相比之下，落后企業(yè)是指那些在以上幾個方面表現(xiàn)欠佳的公司。根據(jù)調(diào)查結(jié)果來看，約有22%的受訪方被歸結(jié)為領(lǐng)導(dǎo)企業(yè)、約有20%屬于落后企業(yè)，其它則占據(jù)中游位置。

不出意外，各領(lǐng)導(dǎo)企業(yè)在報告中稱他們遭遇數(shù)據(jù)泄露事故的機率僅為落后企業(yè)的三分之一。探討這些機構(gòu)在日常數(shù)據(jù)庫安全實踐中的處理方案能為我們提供寶貴的教訓(xùn)，從而指導(dǎo)大家在數(shù)據(jù)庫安全保障規(guī)程中取得更理想的效果。

1. 他們了解敏感數(shù)據(jù)身在何處

除非一家企業(yè)清楚地掌握著內(nèi)部敏感數(shù)據(jù)的所在位置，否則他們很難有針對性地圍繞這些信息開展保護及控制工作。根據(jù)IOUG的調(diào)查，目前約有七成企業(yè)表示他們明確了解哪些數(shù)據(jù)庫當(dāng)中包含有敏感或者受管信息。這一結(jié)果與三年前相比出現(xiàn)了顯著改善?；叵?010年，只有一半多一點的受訪企業(yè)能夠自信地作出這樣的回應(yīng)。這一點不僅對于設(shè)置控制機制意義重大，同時也會在控制手段部署完成后確保企業(yè)自身以更為主動的姿態(tài)發(fā)現(xiàn)泄露事故--而不會傻傻等著外部組織發(fā)現(xiàn)并提醒此類事故的發(fā)生。

“大多數(shù)遭遇數(shù)據(jù)泄露事故的企業(yè)自身對此都毫不知情，壞消息往往是由第三方傳達過來的，”甲骨文公司數(shù)據(jù)庫安全產(chǎn)品管理主管Roxana Bradescu指出。“很顯然，沒人希望自己的數(shù)據(jù)泄露問題是由新聞媒體或者第三方發(fā)現(xiàn)并通知給自己的。在這類控制機制的輔助下，我們至少能夠發(fā)現(xiàn)自身是否遭遇了數(shù)據(jù)泄露問題--這本身就是一種巨大的數(shù)據(jù)安全進步。”

2.他們頻繁組織審計工作

企業(yè)正越來越多地就針對數(shù)據(jù)庫的訪問方式進行審計，但審計工作的頻率仍然有待提高?；叵?010年，能夠每月至少進行一次數(shù)據(jù)安全審計的企業(yè)僅占受訪總數(shù)的15%，時至今日這一比例已經(jīng)上升為23%。

在這方面，先進企業(yè)取得了大大超過落后企業(yè)的顯著優(yōu)勢，有33%的先進企業(yè)聲稱會以一個月甚至更短時間為審計周期，而只有8%的落后企業(yè)能達到同樣的頻率。

Unisphere研究公司研究分析師Joseph McKendrick是IOUG調(diào)查的負責(zé)人，他提醒稱實際上審計本身也很可能只是面子工程。

舉例來說，一位匿名受訪者曾在調(diào)查過程中告訴他，“我們確實會對高權(quán)限用戶的訪問情況進行審計，但并不針對他們的具體操作內(nèi)容。換言之，我們能夠準(zhǔn)確把握誰在什么時候訪問過數(shù)據(jù)庫，但在大多數(shù)情況下卻不知道他們到底干了些什么。在這方面，我們還需要實施額外的審計規(guī)程。”

3.他們監(jiān)控數(shù)據(jù)庫活動與系統(tǒng)變更

審計在安全工作中非常重要，但連續(xù)監(jiān)控在察覺潛在問題、預(yù)防災(zāi)難性數(shù)據(jù)泄露方面的表現(xiàn)則更為出色。遺憾的是，只有極少數(shù)企業(yè)手中掌握著進行各類未授權(quán)活動檢測所必需的實踐方案以及技術(shù)。根據(jù)調(diào)查顯示，只有37%的受訪企業(yè)有能力在二十四小時以內(nèi)檢測出未經(jīng)授權(quán)的數(shù)據(jù)庫訪問或者變更。“缺乏相關(guān)保護措施及技能的企業(yè)數(shù)量非常龐大，”Bradescu指出。“我們希望供應(yīng)商能在數(shù)據(jù)庫當(dāng)中內(nèi)置安全策略，我們也希望能夠監(jiān)控所有指向數(shù)據(jù)庫的活動。”

盡管在高權(quán)限用戶活動、失敗登錄信息以及簽到等活動當(dāng)中推行監(jiān)控機制的企業(yè)數(shù)量目前已經(jīng)超過一半，但其它方面的針對性監(jiān)控仍然不夠普遍。舉例來說，只有37%的企業(yè)會持續(xù)追蹤指向敏感表或者列的寫入活動，而且只有31%的企業(yè)會持續(xù)追蹤指向敏感表或者列的讀取活動。

4. 他們通過加密防止數(shù)據(jù)庫內(nèi)容泄露

即使一套數(shù)據(jù)庫已經(jīng)擁有最為先進的控制與監(jiān)控機制，沒有堅實的加密方案作為依托，所有投入仍然有可能化為泡影。問題在于，缺乏偽裝或者加密的數(shù)據(jù)內(nèi)容，攻擊者很可能徹底繞過數(shù)據(jù)庫平臺本身、通過數(shù)據(jù)庫所使用的數(shù)據(jù)存儲文件獲取其中保存的信息，Bradescu提醒道。

“因此，除非我們將數(shù)據(jù)加密機制落實到位，否則我們無法避免攻擊者繞開數(shù)據(jù)庫的迂回式攻擊活動，"她解釋道。"數(shù)據(jù)加密可以說是數(shù)據(jù)庫安全的真正基礎(chǔ)，因為大家只有以此為前提才能在數(shù)據(jù)庫當(dāng)中實現(xiàn)有效的安全控制效果。”

根據(jù)IOUG調(diào)查報告顯示，數(shù)據(jù)庫加密工作在過去五年來獲得了穩(wěn)定的發(fā)展與進步。在2008年，只有57%的企業(yè)表示已經(jīng)在部分或者全部數(shù)據(jù)庫當(dāng)中采用了加密機制，而時至今日這一比例已經(jīng)上升至70%。

5.他們通過控制措施防止應(yīng)用程序旁支攻擊

與上一條類似，在數(shù)據(jù)庫安全保護方面擁有豐富經(jīng)驗的企業(yè)也懂得確保訪問來源單純性的重要意義，即只允許利用相關(guān)接入應(yīng)用訪問保存在數(shù)據(jù)庫中的信息。

“我們希望確保自己的數(shù)據(jù)庫不會受到他人訪問，除非對方經(jīng)由相關(guān)應(yīng)用程序，”Bradescu表示。

根據(jù)IOUG調(diào)查報告，先進企業(yè)與落后企業(yè)在這一領(lǐng)域的表現(xiàn)相差10%。只有28%的先進企業(yè)允許用戶直接利用臨時工具或者電子表格訪問來自數(shù)據(jù)庫的數(shù)據(jù)，但落后企業(yè)中允許這種方式的比例則達到38%。

6.他們管理高權(quán)限用戶的訪問流程

超級用戶賬戶擁有開啟數(shù)據(jù)庫這座財富王國大門的鑰匙，因此需要經(jīng)過嚴(yán)格管理以確保數(shù)據(jù)庫內(nèi)容不受侵?jǐn)_。所謂超級用戶賬戶不僅包括由數(shù)據(jù)庫管理員所使用的管理賬戶，同時也涵蓋那些被賦予高度數(shù)據(jù)庫權(quán)限、旨在簡化開發(fā)者在編程時與數(shù)據(jù)庫對接的應(yīng)用程序賬戶。

“越來越多的企業(yè)開始監(jiān)控自己的數(shù)據(jù)資產(chǎn)并采取措施對超級用戶加以標(biāo)注，”McKendrick寫道。“不過大多數(shù)企業(yè)仍然無法切實監(jiān)控高權(quán)限用戶的全部在線活動。”

在這方面領(lǐng)導(dǎo)企業(yè)與落后企業(yè)之間形成了鮮明的差距。約有一半的領(lǐng)先企業(yè)報告稱自身已經(jīng)制定措施、旨在防止擁有高權(quán)限的用戶篡改敏感信息；相比之下，只有22%的落后企業(yè)能夠做到這一點。在所有企業(yè)當(dāng)中，制定特權(quán)用戶控制機制的企業(yè)占34%，這一比例與2010年相比高出約10%--當(dāng)時只有不足分四之一的企業(yè)具備此類防范意識。

7. 他們只在生產(chǎn)數(shù)據(jù)庫內(nèi)處理生產(chǎn)數(shù)據(jù)

在分級品質(zhì)保障以及開發(fā)等領(lǐng)域中，草率地傳播生產(chǎn)數(shù)據(jù)長久以來一直成為數(shù)據(jù)庫安全規(guī)劃的致命軟肋。強大的數(shù)據(jù)庫安全規(guī)劃要求生產(chǎn)數(shù)據(jù)必須始終駐留在配備全面控制機制的數(shù)據(jù)庫環(huán)境下，而不應(yīng)接觸其它缺乏同樣安全保障的普通環(huán)境當(dāng)中。

根據(jù)IOUG調(diào)查報告顯示，約有半數(shù)受訪企業(yè)仍然會在數(shù)據(jù)中心之外使用實時生產(chǎn)數(shù)據(jù)。

“除此之外，盡管數(shù)據(jù)安全意識在最近幾年有所增強，但自2008年首次引入調(diào)查報告以來、實時數(shù)據(jù)流出業(yè)務(wù)環(huán)境的情況仍然時有發(fā)生，”McKendrick指出。

原文鏈接：http://www.darkreading.com/database/7-habits-of-highly-secure-database-admin/240164634