登陆 | 注册

当前位置:首页 资源专区


数据库安全性:维护数据安全

作者:Jon OltsikJulie Lockner

2011年9月

执行摘要

大多数人都会认同这样一点:企业数据库充斥着机密和私人信息。这些数据需要采用各种方式来进行保护,且这些方式要符合企业和政府法规。企业的所有网络中都存在着机密数据,并且绝大多数企业都认为敏感性信息在数据库中所占比例最大。

可能有人会设想这些数据库系统具有顶级的安全控制保护系统,虽然合乎逻辑,但现实未必如此。事实上,在ESG的另一个调查当中,有超过一半(55%)的受访者认为,其企业的数据库至少有一部分没有适当的保护措施。

由于IT环境遍布关键任务性数据和企业敏感性数据(主要是在数据库中),因此企业必须再次审视应该如何保护关键数据。数据库数据所面临的风险不断扩大,其主要特点在于:

  • 新兴威胁。高级持久威胁(APT)和其他各类复杂的攻击都旨在查找和窃取知识产权。数据库中出现的漏洞、错误配置以及对访问的薄弱控制都可能将数据库中所保存的机密数据置于新兴威胁之中。
  • 传统上投资不足。ESG研究调查发现,近一半的安全专家认为,预算的局限性是企业数据库的安全性所面临的最大风险。显然,这些安全专家认为,其企业目前是“捡了芝麻,丢了西瓜”,在小处上精明,而在大处上浪费,从而将数据库置于易于攻击的境地。
  • 移动设备的扩张。目前,越来越多的企业在移动设备上运行企业应用,这些设备能够访问、接收和存储企业的机密数据、客户数据、法规监管的数据和知识产权。这就进一步增加了执行数据安全性和法规遵从的复杂程度,由于多个策略需要在平台上进行延伸和实施,但这一平台并不在数据中心范围之内,也没有防火墙的保护。
  • 新的数据类型。新应用和技术的部署随之带来的是非结构数据的大量产生,企业必须清楚这些新的数据类型对其现有安全架构所产生的影响。
  • 数据的增长。ESG最近一次的研究调查表明,数据增长的管理在优先事项排名中位居第二。数据量的日益增长则意味着有更多潜在的敏感信息需要得到保护,而现有的数据库安全性解决方案可能因其所具有的扩展功能而“脱颖而出”。
  • 新型应用部署。计划部署新应用或升级现有应用的企业给出了四个优先事项:
    • Web和电子商务应用 —可能含有最终用户的个人识别信息(PII)和信用卡号码。
    • 行业特定应用 — 可能含有公司机密信息和商业机密。
    • 金融应用 — 根据Sarbanes-Oxley和SEC法规进行审计的数据可能存储在该应用中。
    • 客户关系管理(CRM)应用 — 其中可能含有客户详细信息,而这些信息对于销售企业而言可作为竞争优势。

目前,许多法规和行业要求促使软件厂商提供能够帮助企业遵从法规的解决方案。

考虑到授权用户和数据库中实际存储的数据之间存在多个技术层面,因此企业必须采用多管齐下的方式来为数据库中的数据提供保护,以确保这些数据在内部用户和外部用户的使用下都具有安全性。

在通常情况下,安全架构的重心在于外围网络的安全性和非特定数据库的审计控制。为了充分保护数据库中的数据,就需要一个全面、完善的方式来保护敏感型数据,并且重点应该放在存储众多风险敏感型数据的应用上。

对于每个生产数据库实例而言,IT部门都需要维护多个副本,以满足报告、备份、灾难恢复、测试和开发进程、数据仓库和分析以及其他目的,这样一来,上述的威胁所带来的影响就会成倍增加。多数情况下,虽然副本只是为了满足一时只需,但最后却永久保存了下来。随着管理临时数据存储的负责人将工作重心转移到其他事务上,这些孤立存在的系统就会又一次暴露在风险之中,这主要是因为这些系统已经不属于监管之列。如果存在多个数据和数据库的副本,且没有相应的安全机制来控制对敏感型信息的访问,攻击或窃取数据的风险就会呈指数增长。

由于敏感型信息遍布于数据中心(尤其是数据库),因此企业比较了解如何来保护这些数据,找出存在的安全漏洞,并提供合适的解决方案,以有效减轻风险。

市场结构

目前市场上现有的保护数据库数据的解决方案,可以给予其解决具体漏洞的方式来进行评估,其类别如下:

  • 数据屏蔽和加密
  • 数据库功能
  • 漏洞评估
  • 应用和数据库防火墙
  • 数据库活动监控

每一级别的安全型措施都会给数据增添一层保护。

在投资于第三方数据库安全解决方案之前,需要对风险执行管理水平进行了解。数据库管理员和应用程序开发人员清楚数据库安全解决方案的技术影响,包括管理性、性能和保护性。由于企业历来都不会聘用专门的人员管理数据库,因此也往往不受监督和关注。

ESG强烈呼吁,首席信息官(CIO)和首席信息安全官(CISO)应该将对目前导致数据库安全风险性过高(难以接受)的优先事项的评估纳入考虑之中。

没有一个单一的解决方案或技术能够确保敏感型或机密性信息时时刻刻都处于安全状态。然而,如果让宝贵的信息资产持续具有安全性,关键在于数据库安全技术上的良好投资,它不仅是全面战略的部分内容,而且应以企业独特的环境和对风险的承受能力作为依据。

 

 

 

 

 

 

 

 

     

 

 

 

 

更多

用户登录 | Login


忘记密码 Lost pass?