【2013年12月17日 51CTO外電頭條】無(wú)論數(shù)據(jù)庫(kù)管理員、信息安全專業(yè)人士還是同時(shí)身兼兩種角色，負(fù)責(zé)維護(hù)企業(yè)數(shù)據(jù)庫(kù)當(dāng)中所保存信息的技術(shù)團(tuán)隊(duì)必須建立良好的安全習(xí)慣、從而實(shí)現(xiàn)份內(nèi)的保護(hù)目標(biāo)。這些實(shí)踐立足于堅(jiān)實(shí)的數(shù)據(jù)安全規(guī)劃，但根據(jù)本周由獨(dú)立甲骨文用戶團(tuán)隊(duì)（簡(jiǎn)稱IOUG）發(fā)布的《2013年企業(yè)數(shù)據(jù)安全調(diào)查》顯示，對(duì)于大部分企業(yè)來說制定這一規(guī)劃本身已經(jīng)是個(gè)不易實(shí)現(xiàn)的任務(wù)。

[[92272]]

今年的IOUG數(shù)據(jù)安全調(diào)查特別關(guān)注了數(shù)據(jù)庫(kù)安全形勢(shì)，并以2013年業(yè)界領(lǐng)先與落后企業(yè)的實(shí)際處理方式為基礎(chǔ)、詳盡分析了他們?cè)?a target="_blank">數(shù)據(jù)庫(kù)安全領(lǐng)域的表現(xiàn)。這份調(diào)查報(bào)告所提到的“領(lǐng)先企業(yè)”是指那些切實(shí)完成了三項(xiàng)基準(zhǔn)保護(hù)措施（在今天的文章中都將提到）的公司，即：數(shù)據(jù)庫(kù)內(nèi)容敏感性或者受限識(shí)別、數(shù)據(jù)靜態(tài)或者動(dòng)態(tài)加密以及監(jiān)控生產(chǎn)數(shù)據(jù)庫(kù)的非授權(quán)訪問或者修改等。相比之下，落后企業(yè)是指那些在以上幾個(gè)方面表現(xiàn)欠佳的公司。根據(jù)調(diào)查結(jié)果來看，約有22%的受訪方被歸結(jié)為領(lǐng)導(dǎo)企業(yè)、約有20%屬于落后企業(yè)，其它則占據(jù)中游位置。

不出意外，各領(lǐng)導(dǎo)企業(yè)在報(bào)告中稱他們?cè)庥鰯?shù)據(jù)泄露事故的機(jī)率僅為落后企業(yè)的三分之一。探討這些機(jī)構(gòu)在日常數(shù)據(jù)庫(kù)安全實(shí)踐中的處理方案能為我們提供寶貴的教訓(xùn)，從而指導(dǎo)大家在數(shù)據(jù)庫(kù)安全保障規(guī)程中取得更理想的效果。

1. 他們了解敏感數(shù)據(jù)身在何處

除非一家企業(yè)清楚地掌握著內(nèi)部敏感數(shù)據(jù)的所在位置，否則他們很難有針對(duì)性地圍繞這些信息開展保護(hù)及控制工作。根據(jù)IOUG的調(diào)查，目前約有七成企業(yè)表示他們明確了解哪些數(shù)據(jù)庫(kù)當(dāng)中包含有敏感或者受管信息。這一結(jié)果與三年前相比出現(xiàn)了顯著改善?；叵?010年，只有一半多一點(diǎn)的受訪企業(yè)能夠自信地作出這樣的回應(yīng)。這一點(diǎn)不僅對(duì)于設(shè)置控制機(jī)制意義重大，同時(shí)也會(huì)在控制手段部署完成后確保企業(yè)自身以更為主動(dòng)的姿態(tài)發(fā)現(xiàn)泄露事故--而不會(huì)傻傻等著外部組織發(fā)現(xiàn)并提醒此類事故的發(fā)生。

“大多數(shù)遭遇數(shù)據(jù)泄露事故的企業(yè)自身對(duì)此都毫不知情，壞消息往往是由第三方傳達(dá)過來的，”甲骨文公司數(shù)據(jù)庫(kù)安全產(chǎn)品管理主管Roxana Bradescu指出。“很顯然，沒人希望自己的數(shù)據(jù)泄露問題是由新聞媒體或者第三方發(fā)現(xiàn)并通知給自己的。在這類控制機(jī)制的輔助下，我們至少能夠發(fā)現(xiàn)自身是否遭遇了數(shù)據(jù)泄露問題--這本身就是一種巨大的數(shù)據(jù)安全進(jìn)步。”

2.他們頻繁組織審計(jì)工作

企業(yè)正越來越多地就針對(duì)數(shù)據(jù)庫(kù)的訪問方式進(jìn)行審計(jì)，但審計(jì)工作的頻率仍然有待提高?；叵?010年，能夠每月至少進(jìn)行一次數(shù)據(jù)安全審計(jì)的企業(yè)僅占受訪總數(shù)的15%，時(shí)至今日這一比例已經(jīng)上升為23%。

在這方面，先進(jìn)企業(yè)取得了大大超過落后企業(yè)的顯著優(yōu)勢(shì)，有33%的先進(jìn)企業(yè)聲稱會(huì)以一個(gè)月甚至更短時(shí)間為審計(jì)周期，而只有8%的落后企業(yè)能達(dá)到同樣的頻率。

Unisphere研究公司研究分析師Joseph McKendrick是IOUG調(diào)查的負(fù)責(zé)人，他提醒稱實(shí)際上審計(jì)本身也很可能只是面子工程。

舉例來說，一位匿名受訪者曾在調(diào)查過程中告訴他，“我們確實(shí)會(huì)對(duì)高權(quán)限用戶的訪問情況進(jìn)行審計(jì)，但并不針對(duì)他們的具體操作內(nèi)容。換言之，我們能夠準(zhǔn)確把握誰(shuí)在什么時(shí)候訪問過數(shù)據(jù)庫(kù)，但在大多數(shù)情況下卻不知道他們到底干了些什么。在這方面，我們還需要實(shí)施額外的審計(jì)規(guī)程。”

3.他們監(jiān)控?cái)?shù)據(jù)庫(kù)活動(dòng)與系統(tǒng)變更

審計(jì)在安全工作中非常重要，但連續(xù)監(jiān)控在察覺潛在問題、預(yù)防災(zāi)難性數(shù)據(jù)泄露方面的表現(xiàn)則更為出色。遺憾的是，只有極少數(shù)企業(yè)手中掌握著進(jìn)行各類未授權(quán)活動(dòng)檢測(cè)所必需的實(shí)踐方案以及技術(shù)。根據(jù)調(diào)查顯示，只有37%的受訪企業(yè)有能力在二十四小時(shí)以內(nèi)檢測(cè)出未經(jīng)授權(quán)的數(shù)據(jù)庫(kù)訪問或者變更。“缺乏相關(guān)保護(hù)措施及技能的企業(yè)數(shù)量非常龐大，”Bradescu指出。“我們希望供應(yīng)商能在數(shù)據(jù)庫(kù)當(dāng)中內(nèi)置安全策略，我們也希望能夠監(jiān)控所有指向數(shù)據(jù)庫(kù)的活動(dòng)。”

盡管在高權(quán)限用戶活動(dòng)、失敗登錄信息以及簽到等活動(dòng)當(dāng)中推行監(jiān)控機(jī)制的企業(yè)數(shù)量目前已經(jīng)超過一半，但其它方面的針對(duì)性監(jiān)控仍然不夠普遍。舉例來說，只有37%的企業(yè)會(huì)持續(xù)追蹤指向敏感表或者列的寫入活動(dòng)，而且只有31%的企業(yè)會(huì)持續(xù)追蹤指向敏感表或者列的讀取活動(dòng)。

4. 他們通過加密防止數(shù)據(jù)庫(kù)內(nèi)容泄露

即使一套數(shù)據(jù)庫(kù)已經(jīng)擁有最為先進(jìn)的控制與監(jiān)控機(jī)制，沒有堅(jiān)實(shí)的加密方案作為依托，所有投入仍然有可能化為泡影。問題在于，缺乏偽裝或者加密的數(shù)據(jù)內(nèi)容，攻擊者很可能徹底繞過數(shù)據(jù)庫(kù)平臺(tái)本身、通過數(shù)據(jù)庫(kù)所使用的數(shù)據(jù)存儲(chǔ)文件獲取其中保存的信息，Bradescu提醒道。

“因此，除非我們將數(shù)據(jù)加密機(jī)制落實(shí)到位，否則我們無(wú)法避免攻擊者繞開數(shù)據(jù)庫(kù)的迂回式攻擊活動(dòng)，"她解釋道。"數(shù)據(jù)加密可以說是數(shù)據(jù)庫(kù)安全的真正基礎(chǔ)，因?yàn)榇蠹抑挥幸源藶榍疤岵拍茉跀?shù)據(jù)庫(kù)當(dāng)中實(shí)現(xiàn)有效的安全控制效果。”

根據(jù)IOUG調(diào)查報(bào)告顯示，數(shù)據(jù)庫(kù)加密工作在過去五年來獲得了穩(wěn)定的發(fā)展與進(jìn)步。在2008年，只有57%的企業(yè)表示已經(jīng)在部分或者全部數(shù)據(jù)庫(kù)當(dāng)中采用了加密機(jī)制，而時(shí)至今日這一比例已經(jīng)上升至70%。

5.他們通過控制措施防止應(yīng)用程序旁支攻擊

與上一條類似，在數(shù)據(jù)庫(kù)安全保護(hù)方面擁有豐富經(jīng)驗(yàn)的企業(yè)也懂得確保訪問來源單純性的重要意義，即只允許利用相關(guān)接入應(yīng)用訪問保存在數(shù)據(jù)庫(kù)中的信息。

“我們希望確保自己的數(shù)據(jù)庫(kù)不會(huì)受到他人訪問，除非對(duì)方經(jīng)由相關(guān)應(yīng)用程序，”Bradescu表示。

根據(jù)IOUG調(diào)查報(bào)告，先進(jìn)企業(yè)與落后企業(yè)在這一領(lǐng)域的表現(xiàn)相差10%。只有28%的先進(jìn)企業(yè)允許用戶直接利用臨時(shí)工具或者電子表格訪問來自數(shù)據(jù)庫(kù)的數(shù)據(jù)，但落后企業(yè)中允許這種方式的比例則達(dá)到38%。

6.他們管理高權(quán)限用戶的訪問流程

超級(jí)用戶賬戶擁有開啟數(shù)據(jù)庫(kù)這座財(cái)富王國(guó)大門的鑰匙，因此需要經(jīng)過嚴(yán)格管理以確保數(shù)據(jù)庫(kù)內(nèi)容不受侵?jǐn)_。所謂超級(jí)用戶賬戶不僅包括由數(shù)據(jù)庫(kù)管理員所使用的管理賬戶，同時(shí)也涵蓋那些被賦予高度數(shù)據(jù)庫(kù)權(quán)限、旨在簡(jiǎn)化開發(fā)者在編程時(shí)與數(shù)據(jù)庫(kù)對(duì)接的應(yīng)用程序賬戶。

“越來越多的企業(yè)開始監(jiān)控自己的數(shù)據(jù)資產(chǎn)并采取措施對(duì)超級(jí)用戶加以標(biāo)注，”McKendrick寫道。“不過大多數(shù)企業(yè)仍然無(wú)法切實(shí)監(jiān)控高權(quán)限用戶的全部在線活動(dòng)。”

在這方面領(lǐng)導(dǎo)企業(yè)與落后企業(yè)之間形成了鮮明的差距。約有一半的領(lǐng)先企業(yè)報(bào)告稱自身已經(jīng)制定措施、旨在防止擁有高權(quán)限的用戶篡改敏感信息；相比之下，只有22%的落后企業(yè)能夠做到這一點(diǎn)。在所有企業(yè)當(dāng)中，制定特權(quán)用戶控制機(jī)制的企業(yè)占34%，這一比例與2010年相比高出約10%--當(dāng)時(shí)只有不足分四之一的企業(yè)具備此類防范意識(shí)。

7. 他們只在生產(chǎn)數(shù)據(jù)庫(kù)內(nèi)處理生產(chǎn)數(shù)據(jù)

在分級(jí)品質(zhì)保障以及開發(fā)等領(lǐng)域中，草率地傳播生產(chǎn)數(shù)據(jù)長(zhǎng)久以來一直成為數(shù)據(jù)庫(kù)安全規(guī)劃的致命軟肋。強(qiáng)大的數(shù)據(jù)庫(kù)安全規(guī)劃要求生產(chǎn)數(shù)據(jù)必須始終駐留在配備全面控制機(jī)制的數(shù)據(jù)庫(kù)環(huán)境下，而不應(yīng)接觸其它缺乏同樣安全保障的普通環(huán)境當(dāng)中。

根據(jù)IOUG調(diào)查報(bào)告顯示，約有半數(shù)受訪企業(yè)仍然會(huì)在數(shù)據(jù)中心之外使用實(shí)時(shí)生產(chǎn)數(shù)據(jù)。

“除此之外，盡管數(shù)據(jù)安全意識(shí)在最近幾年有所增強(qiáng)，但自2008年首次引入調(diào)查報(bào)告以來、實(shí)時(shí)數(shù)據(jù)流出業(yè)務(wù)環(huán)境的情況仍然時(shí)有發(fā)生，”McKendrick指出。

原文鏈接：http://www.darkreading.com/database/7-habits-of-highly-secure-database-admin/240164634