數據庫管理安全戰略 減少資料失竊風險
大家都很清楚對于企業和政府而言,其數據庫所保存的數據非常重要,但讓人不解的是,這些數據庫安全卻總有種被莫名忽視的感覺,至少對于那些涉嫌數據被竊和泄漏而惹上官司的企業而言的確如此。
這么說并不是有意要對企業挑選數據庫管理員挑刺而得罪整個IT行業,不過數據庫庫管理員和安全管理員確實需要進行更進一步的溝通,以便能夠改善對這些重要資源的安全問題,而不會對數據庫的性能產生影響。一個常見的約束就是由于相關的性能損耗太高而使數據庫管理員無法落實安全機制。本文的初衷并不是為了探討數據庫安全的多種內在機制,也不是為了討論這些機制的優劣。本文的目的是對如何在保護信息安全的同時轉移數據庫管理員保護數據庫安全的重擔,并且做到不過分影響數據庫兄性能提出一些建議。
在過去的幾年里,數據庫安全的問題已經被卷入了信息安全問題的主流了,部分原因是資深的安全研究人員越來越多的把研究重點放在了數據庫安全問題上。他們的研究工作使包括一些著名的數據庫產品的一系列漏洞暴露在陽光底下,從數據庫軟件設計上的缺陷到傳統的緩沖區溢出。而且,他們的研究成果認為一般而言,數據庫供應商并不像操作系統供應商那樣勤于發放補丁。
技術雖然并不是***藥,但卻是拯救數據庫安全的良藥。例如,像Guardium和Secerno這樣的公司都有提供數據庫防火墻,基于對基礎數據庫通訊全面認識而實現對進出數據庫的信息流的控制。
這些工具對傳遞到后端數據庫的SQL語句了如指掌,并能夠拒絕那些被認為是危險的SQL語句的運行。如果你對于采用一項相對不夠成熟的技術指定訪問決策,以便能夠阻止對關鍵任務系統所依賴的信息的不良訪問感到有點不安,那么你可以在檢測模式下使用這些工具,直到你積累了足夠信任度為止。完全在數據庫管理員控制范圍之外的數據庫審計跟蹤本身可能成為目標。實施更高度的職能分離比依賴數據庫內在的審計功能要強的多。
此外,還有很多工具可以用來執行數據庫的自動安全審計。他們能適用于一般的數據庫,并能夠提供詳盡的安全漏洞報告,同時會提出補救行動建議。
除了使用安全工具外,還要制定并執行一些安全準則,包括強化數據庫和主機,對數據庫管理員進行適當的審查,有效的用戶管理和定期打補丁等。本文所討論的工具能夠通過一些簡單的數據庫安全措施幫助減少你最寶貴的資產——數據庫資料失竊的風險。
【編輯推薦】
