所有數(shù)據(jù)庫(kù)安全戰(zhàn)略的最重要的步驟之一，同時(shí)也是最有可能被人遺忘的步驟之一，就是：列出企業(yè)管理的數(shù)據(jù)庫(kù)。只有企業(yè)知道它有多少個(gè)數(shù)據(jù)庫(kù)，哪個(gè)數(shù)據(jù)庫(kù)包含敏感信息，企業(yè)才有可能基于風(fēng)險(xiǎn)來(lái)對(duì)這些數(shù)據(jù)庫(kù)進(jìn)行優(yōu)先排序，并部署適當(dāng)?shù)目刂啤Ｈ欢?，在?shù)據(jù)庫(kù)發(fā)現(xiàn)方面，很多公司仍然處于“混沌”之中。

Imperva公司高級(jí)產(chǎn)品經(jīng)理Anu Yamunan表示：“很多公司都難以定位以及準(zhǔn)確地知道其數(shù)據(jù)庫(kù)上的所有數(shù)據(jù)。”Vigilant公司高級(jí)經(jīng)理Paul Borchardt也贊同這個(gè)說(shuō)法，他看到很多公司無(wú)法維護(hù)整個(gè)企業(yè)的數(shù)據(jù)庫(kù)或應(yīng)用程序庫(kù)存清單。他表示，“你聽(tīng)起來(lái)非常簡(jiǎn)單且具有邏輯性，但準(zhǔn)確的資產(chǎn)清單通常是不存在的，如果存在的話，也是由不同資產(chǎn)管理者(例如數(shù)據(jù)庫(kù)管理員和開(kāi)發(fā)人員)分散管理的，無(wú)法找出包含你的客戶的PII信息的數(shù)據(jù)庫(kù)，這將會(huì)讓你難以面對(duì)監(jiān)管機(jī)構(gòu)和法院的審查。”

這里的部分問(wèn)題在于規(guī)模。很多企業(yè)在其IT基礎(chǔ)設(shè)施內(nèi)運(yùn)行數(shù)百個(gè)數(shù)據(jù)庫(kù)，有些數(shù)據(jù)庫(kù)比其他數(shù)據(jù)庫(kù)更加明顯一些。根據(jù)最新的IOUG企業(yè)數(shù)據(jù)安全調(diào)查，38%的企業(yè)運(yùn)行著超過(guò)100個(gè)數(shù)據(jù)庫(kù)，而18%運(yùn)行超過(guò)1000個(gè)數(shù)據(jù)庫(kù)。再加上數(shù)據(jù)庫(kù)和應(yīng)用程序的動(dòng)態(tài)本質(zhì)，我們就能夠明白，為什么看似如此簡(jiǎn)單的任務(wù)仍然在IT的必做工作清單中。

MENTIS Software 市場(chǎng)營(yíng)銷(xiāo)和產(chǎn)品戰(zhàn)略副總裁Kevin O'Malley 表示：“數(shù)據(jù)庫(kù)的主要問(wèn)題是復(fù)雜性，不斷的變化使企業(yè)幾乎不可能通過(guò)手動(dòng)程序來(lái)追蹤。”

此外，其他業(yè)務(wù)和技術(shù)趨勢(shì)也加劇了發(fā)現(xiàn)和追蹤數(shù)據(jù)庫(kù)的難度。Yamunan表示，“虛擬化就是其中之一，例如，管理員可以輕松地創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)的新的虛擬鏡像，這個(gè)虛擬鏡像現(xiàn)在包含一個(gè)‘虛擬’數(shù)據(jù)庫(kù)，不受IT安全控制。”

同樣地，備份數(shù)據(jù)存儲(chǔ)到云中也給發(fā)現(xiàn)和保護(hù)數(shù)據(jù)庫(kù)帶來(lái)了潛在的問(wèn)題?？煺展δ懿粌H創(chuàng)建了難以追蹤的數(shù)據(jù)庫(kù)副本，而且它們通常不具備加密功能。例如，亞馬遜AWS具有關(guān)系數(shù)據(jù)庫(kù)服務(wù)(RDS)，而沒(méi)有加密數(shù)據(jù)庫(kù)快照功能。

Laconic Security公司聯(lián)合創(chuàng)始人Fred Thiele表示，“此外，亞馬遜還有冗余故障轉(zhuǎn)移選項(xiàng)，如果主數(shù)據(jù)庫(kù)出現(xiàn)故障，還可以保持最新的備份，同樣，如果你數(shù)據(jù)庫(kù)中有未加密的數(shù)據(jù)，未加密的數(shù)據(jù)會(huì)以純文本格式被復(fù)制到亞馬遜的另一個(gè)地方。”

不管怎樣，企業(yè)應(yīng)該想辦法來(lái)自動(dòng)掃描基礎(chǔ)設(shè)施，以發(fā)現(xiàn)和追蹤數(shù)據(jù)庫(kù)及其包含的信息。O'Malley建立每月或者至少每個(gè)季度進(jìn)行一次完全掃描，來(lái)確保企業(yè)能夠找出敏感數(shù)據(jù)。定期這樣做很重要，因?yàn)閿?shù)據(jù)庫(kù)的內(nèi)容可能會(huì)隨著時(shí)間的推移而變化，看似無(wú)用的數(shù)據(jù)可能會(huì)變成敏感數(shù)據(jù)。

“在定期掃描的基礎(chǔ)上，企業(yè)還應(yīng)該檢查和修復(fù)基礎(chǔ)設(shè)施漏洞和錯(cuò)誤配置，并持續(xù)監(jiān)控哪些人可以訪問(wèn)敏感數(shù)據(jù)，”Yamunan認(rèn)為這會(huì)讓企業(yè)更容易找出存在漏洞的敏感數(shù)據(jù)庫(kù)。這樣做基本上能夠?yàn)椴煌瑪?shù)據(jù)的不同數(shù)據(jù)集來(lái)建立風(fēng)險(xiǎn)評(píng)分。例如，沒(méi)有及時(shí)修復(fù)漏洞的數(shù)據(jù)庫(kù)，而又包含信用卡信息，同時(shí)又能夠被外部用戶和應(yīng)用訪問(wèn)，這種數(shù)據(jù)庫(kù)就是高風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)。