以下的文章主要是介紹企業(yè)數(shù)據(jù)庫(kù)安全失效的5個(gè)主要原因，雖然關(guān)于數(shù)據(jù)庫(kù)安全最佳做法已經(jīng)整整討論了幾年的時(shí)間了，并且現(xiàn)有的數(shù)據(jù)庫(kù)安全工具也已經(jīng)成熟，但現(xiàn)在企業(yè)仍然無(wú)法確保最機(jī)密數(shù)據(jù)的存儲(chǔ)安全。

近日獨(dú)立Oracle用戶集團(tuán)發(fā)布的數(shù)據(jù)安全調(diào)查結(jié)果就揭露了企業(yè)最常見的數(shù)據(jù)庫(kù)安全錯(cuò)誤。從這些結(jié)果來(lái)看，很明顯，現(xiàn)在大多數(shù)企業(yè)都是憑感覺在運(yùn)行數(shù)據(jù)庫(kù)安全。絕大多數(shù)企業(yè)根本沒有監(jiān)控他們的數(shù)據(jù)庫(kù)，或者說(shuō)以特設(shè)的方式來(lái)監(jiān)控。更令人不安的是，大多數(shù)企業(yè)甚至不知道他們的重要數(shù)據(jù)的位置，很多管理員在調(diào)查中承認(rèn)他們并不能肯定數(shù)據(jù)庫(kù)中包含著重要信息。

從調(diào)查結(jié)果中，我們已經(jīng)確定了泄漏事故發(fā)生率居高不下的最主要原因，除非企業(yè)對(duì)這些做法進(jìn)行適當(dāng)控制，否則數(shù)據(jù)泄漏事故還將繼續(xù)制造新聞。

企業(yè)數(shù)據(jù)庫(kù)安全失效的五大原因1. 企業(yè)仍然不知道重要數(shù)據(jù)的位置

在企業(yè)可以保護(hù)他們的重要數(shù)據(jù)之前，他們必須知道重要數(shù)據(jù)的位置。不幸的是，在當(dāng)今快節(jié)奏的IT環(huán)境，很多管理員發(fā)現(xiàn)很難在眾多數(shù)據(jù)庫(kù)中追蹤重要信息。

事實(shí)上，他們只是不知道哪些數(shù)據(jù)庫(kù)包含或者不包含諸如個(gè)人身份信息等數(shù)據(jù)。調(diào)查發(fā)現(xiàn)，48%的受訪者承認(rèn)他們不清楚企業(yè)中哪些數(shù)據(jù)庫(kù)包含機(jī)密信息。

部分原因在于現(xiàn)在企業(yè)運(yùn)行著大量的數(shù)據(jù)庫(kù)。大約35%的企業(yè)運(yùn)行11到100個(gè)數(shù)據(jù)庫(kù)，將近40%的企業(yè)運(yùn)行超過(guò)100個(gè)數(shù)據(jù)庫(kù)，而13%的企業(yè)運(yùn)行1000多個(gè)數(shù)據(jù)庫(kù)。

更復(fù)雜的問題是，非常多的重要信息位于生產(chǎn)數(shù)據(jù)庫(kù)外部。大約有37%的企業(yè)承認(rèn)他們?cè)诜巧a(chǎn)數(shù)據(jù)庫(kù)使用生產(chǎn)數(shù)據(jù)，在這些受訪者中，39%表示這些數(shù)據(jù)包含個(gè)人身份信息或者他們并不確定是否包含。

企業(yè)數(shù)據(jù)庫(kù)安全失效的五大原因2. 安全監(jiān)控力度不足

有這么多的數(shù)據(jù)庫(kù)需要追蹤，如果企業(yè)真的想清楚知道哪些人訪問了重要數(shù)據(jù)，他們必須明確如何監(jiān)測(cè)這些數(shù)據(jù)的活動(dòng)。然而，只有四分之一的企業(yè)部署了自動(dòng)化工具來(lái)定期監(jiān)測(cè)數(shù)據(jù)庫(kù)行為，這個(gè)數(shù)據(jù)自IOUG從2008年開始訪問數(shù)據(jù)庫(kù)管理員以來(lái)就大致保持不變。

IOUG還發(fā)現(xiàn)，雖然72%的企業(yè)表示至少在一些數(shù)據(jù)庫(kù)上使用本地審計(jì)工具，很少的管理員會(huì)真正查看這些工具生成的數(shù)據(jù)。大約有11%的企業(yè)表示他們會(huì)定期手動(dòng)監(jiān)測(cè)數(shù)據(jù)庫(kù)。

25%的企業(yè)表示他們沒有辦法確定數(shù)據(jù)庫(kù)是否發(fā)生了未經(jīng)授權(quán)更改。只有30%的企業(yè)表示他們能夠在大多數(shù)數(shù)據(jù)庫(kù)中檢查出這種更改。約有46%的受訪者表示他們只能夠檢測(cè)中某些數(shù)據(jù)庫(kù)中的未經(jīng)授權(quán)更改。

然而，在那些可以發(fā)現(xiàn)未經(jīng)授權(quán)更改的受訪者中，響應(yīng)時(shí)間都很慢。只有12%的受訪者表示他們能夠在一個(gè)小時(shí)內(nèi)檢測(cè)出未經(jīng)授權(quán)更改，而約有33%的受訪者表示他們最多一天內(nèi)可以察覺。大約16%的受訪者表示需要一天或者更長(zhǎng)事件，40%表示他們不確定什么時(shí)候能夠察覺未經(jīng)授權(quán)更改。

企業(yè)數(shù)據(jù)庫(kù)安全失效的五大原因3. 特權(quán)用戶運(yùn)行不受制止

IOUG調(diào)查的一名受訪者表示，“我們最大的風(fēng)險(xiǎn)可能是員工肆意運(yùn)行，我們可以很快察覺，但是可能還是無(wú)法避免嚴(yán)重?fù)p害。”

這是很多管理員共同的心聲，約有22%受訪者將內(nèi)部攻擊者列為他們最大的數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)，而另外12%受訪者表示濫用特權(quán)是最大的威脅。

盡管大家都知道這個(gè)威脅，但是卻很少有企業(yè)采取行動(dòng)來(lái)減輕這些風(fēng)險(xiǎn)。高達(dá)四分之三的企業(yè)并有或者不確定他們是否有辦法制止特權(quán)用戶濫用或者攻擊數(shù)據(jù)庫(kù)信息。只有23%的企業(yè)有辦法阻止特權(quán)用戶的意外更高。四分之一的企業(yè)，即使是普通用戶都可以繞過(guò)應(yīng)用程序獲取對(duì)重要數(shù)據(jù)的直接訪問。

也許更令人擔(dān)心的是，面對(duì)未經(jīng)授權(quán)訪問和惡意篡改數(shù)據(jù)，很多公司無(wú)法保護(hù)審計(jì)數(shù)據(jù)。大約有57%的受訪者并沒有將數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)放到中央安全位置，從而使特權(quán)用戶可以在未經(jīng)授權(quán)訪問或者篡改信息后更改審計(jì)數(shù)據(jù)來(lái)掩藏他們的蹤跡。

企業(yè)數(shù)據(jù)庫(kù)安全失效的五大原因4. 數(shù)據(jù)庫(kù)補(bǔ)丁修復(fù)緩慢

現(xiàn)在很多數(shù)據(jù)泄漏事故都出自利用數(shù)據(jù)庫(kù)和web應(yīng)用程序漏洞攻入重要數(shù)據(jù)存儲(chǔ)位置的黑客之手。根據(jù)最新Verizon2010數(shù)據(jù)泄漏調(diào)查報(bào)告顯示，去年的數(shù)據(jù)泄漏事故中有90%涉及SQL注入攻擊。

雖然企業(yè)完全可以通過(guò)保持更新數(shù)據(jù)庫(kù)和以安全的方式配置來(lái)避免這些攻擊，但是他們根本沒有抓住這個(gè)機(jī)會(huì)來(lái)減輕風(fēng)險(xiǎn)。IOUG調(diào)查發(fā)現(xiàn)63%的管理員承認(rèn)他們的關(guān)鍵補(bǔ)丁更新至少有一個(gè)周期時(shí)間的延誤。最令人關(guān)注的是，17%的管理員表示他們從來(lái)沒有修復(fù)補(bǔ)丁或者并不確定是否修復(fù)了補(bǔ)丁。

企業(yè)數(shù)據(jù)庫(kù)安全失效的五大原因5. 加密不足

雖然HIPAA和PCL DSS等法規(guī)要求企業(yè)加密或者確定數(shù)據(jù)庫(kù)內(nèi)的個(gè)人身份信息，但企業(yè)內(nèi)對(duì)個(gè)人身份信息的數(shù)據(jù)庫(kù)加密仍然遠(yuǎn)遠(yuǎn)不夠。少于三分之一的管理員表示，他們會(huì)對(duì)所有數(shù)據(jù)庫(kù)內(nèi)的個(gè)人身份信息進(jìn)行加密，而38%則表示，他們沒有加密個(gè)人身份信息或者不確定是否加密。對(duì)進(jìn)出數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)流量的加密也是同樣如此，大約23%的企業(yè)表示他們加密所有流量，而35%承認(rèn)他們沒有加密流量或者不確定是否加密。

數(shù)據(jù)庫(kù)加密真正的致命弱點(diǎn)就是數(shù)據(jù)庫(kù)備份和數(shù)據(jù)庫(kù)副本如何被發(fā)送到公司外合作伙伴的方式。不到一半的企業(yè)可以明確的表示，他們沒有發(fā)送未加密數(shù)據(jù)庫(kù)信息到公司外部。只有16%的企業(yè)表示他們對(duì)所有數(shù)據(jù)庫(kù)備份和數(shù)據(jù)庫(kù)副本進(jìn)行了加密。