【51CTO.com 12月26日外電頭條】隨著新的一年日益臨近，各企業(yè)也開始為未來(lái)的業(yè)務(wù)進(jìn)程秣馬厲兵，而這也正是我們著眼于流程與技術(shù)，并重新評(píng)估它們?nèi)绾吻袑?shí)降低安全風(fēng)險(xiǎn)的最佳時(shí)機(jī)。在數(shù)據(jù)庫(kù)級(jí)別的日常應(yīng)用中，某些根本性措施在不少企業(yè)中仍然沒能得到有效開展。

下面這份操作清單根據(jù)數(shù)據(jù)庫(kù)安全專家們?cè)?011年內(nèi)所公布的意見匯總得出。認(rèn)真學(xué)習(xí)并仔細(xì)考量能夠?yàn)槲覀冎贫ㄒ惶淄晟频陌踩?jì)劃帶來(lái)巨大幫助，進(jìn)而指導(dǎo)2012年及之后階段的發(fā)展方針。

[[54368]]

1.確保我們的數(shù)據(jù)庫(kù)無(wú)法輕易在網(wǎng)上被檢索到

數(shù)家企業(yè)都在今年遭遇窘境，因?yàn)樗麄兊腎T部門在配置數(shù)據(jù)庫(kù)時(shí)保留了面向網(wǎng)絡(luò)的接口；在情況下，數(shù)據(jù)庫(kù)本身將很容易被從網(wǎng)上檢索到。

"當(dāng)下存在的眾多數(shù)據(jù)庫(kù)都在處理來(lái)自不同位置、不同設(shè)備的訪問請(qǐng)求方面下足了功夫。在大多數(shù)人的觀念中，他們認(rèn)為要對(duì)某臺(tái)服務(wù)器進(jìn)行訪問，必須要通過其上運(yùn)行的某款應(yīng)用程序方可實(shí)現(xiàn)，而在應(yīng)用程序之下的實(shí)際數(shù)據(jù)理應(yīng)由于應(yīng)用本身的安全性保障而同樣比較安全，"RedSeal System公司CTO Mike Lloyd博士如是說。"但大家的數(shù)據(jù)庫(kù)就擺在那里，而且在很多情況下，從投入使用的那一刻開始，它就被配置成與網(wǎng)絡(luò)相連的狀態(tài)。"

2.更好地對(duì)數(shù)據(jù)加以分類

當(dāng)企業(yè)在嘗試將數(shù)據(jù)庫(kù)中的高價(jià)值數(shù)據(jù)與低敏感信息加以分類時(shí)，他們也就同時(shí)獲得了按優(yōu)先級(jí)別管理安全風(fēng)險(xiǎn)以及部署更有針對(duì)性的保護(hù)機(jī)制的能力。

"大中型企業(yè)在分類工作上做得仍然不夠到位，"Verizon Business首席主管Chris Novak指出。"在這些企業(yè)中，大家面對(duì)的是分布的世界各地的辦公室、高校以及其它復(fù)合型設(shè)施。而問題在于，如果來(lái)自這么多分支機(jī)構(gòu)的大量信息不能加以有效分類，那么原本只存在于其中一地的風(fēng)險(xiǎn)很可能擴(kuò)散到整個(gè)整個(gè)體系中去。"

3.確保密碼以非純文本形式存儲(chǔ)

安全措施的一大核心內(nèi)容是撥亂反正，而在大多數(shù)機(jī)構(gòu)中，將數(shù)據(jù)庫(kù)密碼以純文本形式存儲(chǔ)就是這"亂"中最為致命的疏漏之一。

"這種情況真的相當(dāng)普遍，尤其是在那些大型乃至巨型規(guī)模的企業(yè)中更為明顯--相比之下新興企業(yè)由于自身業(yè)務(wù)剛剛起步，盡管處于高增長(zhǎng)狀態(tài)下，但卻較少成為攻擊者的目標(biāo)，"Vormetric公司市場(chǎng)營(yíng)銷與產(chǎn)品管理部門副總裁Gretchen Hellman如是說。

在匿名惡意組織的覬覦之下，這些密碼基本上等于是處在開門揖盜的狀態(tài)下。

4.加強(qiáng)自身配置

如果讓數(shù)據(jù)庫(kù)安全專家給出一條能夠?qū)ξ磥?lái)一年起到廣泛輔助作用的提示，那就是提醒我們對(duì)數(shù)據(jù)庫(kù)的現(xiàn)有疏漏進(jìn)行修補(bǔ)。

在這方面，更新默認(rèn)登錄、系統(tǒng)削減過多的執(zhí)行特權(quán)以及自動(dòng)檢測(cè)流程以找出存在隱患的流氓數(shù)據(jù)庫(kù)都是降低安全風(fēng)險(xiǎn)的有效手段。

5.檢查明顯的加密失誤

盡管數(shù)據(jù)庫(kù)加密工作在部署方面可謂蒸蒸日上，但其中仍然存在著大量失誤，例如將數(shù)據(jù)庫(kù)加密密鑰存儲(chǔ)在同一臺(tái)服務(wù)器中以及使用過時(shí)的加密算法等等。

"如果大家對(duì)自己數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)進(jìn)行加密的話，有一種嚴(yán)重的違規(guī)行為需要當(dāng)心，即將用于加密數(shù)據(jù)的密鑰或者用于獲取密鑰的身份驗(yàn)證資格同加密數(shù)據(jù)存儲(chǔ)在同一套數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)，"Voltage Security公司安全架構(gòu)主管Luther Martin提醒道。"這么會(huì)導(dǎo)致我們?cè)诎踩ぷ魃纤龅呐癁榕萦?。盡管表面上看來(lái)似乎整套體系似乎相當(dāng)堅(jiān)固，但事實(shí)上它基本沒能提供什么有效的保護(hù)機(jī)制。"

6.對(duì)投保三思而后行

許多機(jī)構(gòu)都將希望寄托在言辭美妙、承諾誘人的數(shù)據(jù)故障保險(xiǎn)政策上，意圖以此作為對(duì)小概率突發(fā)事件的防范機(jī)制。但專家們認(rèn)為這些保險(xiǎn)規(guī)劃中其實(shí)存在著許多值得注意的問題。

"與企業(yè)購(gòu)買的其它各類保險(xiǎn)項(xiàng)目不同，目前數(shù)據(jù)安全保險(xiǎn)還沒有一套標(biāo)準(zhǔn)化形式--也就是說計(jì)算機(jī)行業(yè)由于自身特性而存在一種不確定性，因此無(wú)法像常見的員工投保、財(cái)產(chǎn)投保一樣采用普遍的責(zé)任劃分，"Innovation保險(xiǎn)集團(tuán)資深顧問兼創(chuàng)始人Ty Sagalow解釋道。"另外，這類保險(xiǎn)屬于所謂盈余投保范疇，這意味著它們并非得到政府批準(zhǔn)并備案過的項(xiàng)目，也就是說保險(xiǎn)公司可以自主設(shè)定其條款及理賠條件。"

7.部署一套有序的事故警示機(jī)制

許多安全專家都認(rèn)為，對(duì)于大多數(shù)機(jī)構(gòu)而言，遭遇安全事故其實(shí)可以算是種必然情況，惟一的區(qū)別在于具體的發(fā)生時(shí)間。有鑒于此，他們建議打造一套有序的事故警示機(jī)制，以期盡可能減少問題所帶來(lái)的影響及損失。

"如果大家為此準(zhǔn)備一套應(yīng)對(duì)方案，那就表示你已經(jīng)走在了大多數(shù)機(jī)構(gòu)的前面，"災(zāi)后響應(yīng)咨詢公司ID Expert總裁兼創(chuàng)始人Rick Kam表示。"大部分管理者都準(zhǔn)備了備份恢復(fù)計(jì)劃、業(yè)務(wù)連續(xù)性計(jì)劃，甚至針對(duì)火災(zāi)情況也準(zhǔn)備了必要的方案；但由于事故警示機(jī)制不會(huì)顯露出不可或缺的特性，因此人們往往忽略了這種能夠大幅度降低損失的寶貴方案。"

原文鏈接：http://www.darkreading.com/database-security/167901020/security/application-security/232300909/7-housekeeping-duties-for-better-database-security-in-2012.html

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】