以下的文章主要是介紹企業(yè)數(shù)據(jù)庫安全失效的5個主要原因，雖然關(guān)于數(shù)據(jù)庫安全最佳做法已經(jīng)整整討論了幾年的時間了，并且現(xiàn)有的數(shù)據(jù)庫安全工具也已經(jīng)成熟，但現(xiàn)在企業(yè)仍然無法確保最機(jī)密數(shù)據(jù)的存儲安全。

近日獨(dú)立Oracle用戶集團(tuán)發(fā)布的數(shù)據(jù)安全調(diào)查結(jié)果就揭露了企業(yè)最常見的數(shù)據(jù)庫安全錯誤。從這些結(jié)果來看，很明顯，現(xiàn)在大多數(shù)企業(yè)都是憑感覺在運(yùn)行數(shù)據(jù)庫安全。絕大多數(shù)企業(yè)根本沒有監(jiān)控他們的數(shù)據(jù)庫，或者說以特設(shè)的方式來監(jiān)控。更令人不安的是，大多數(shù)企業(yè)甚至不知道他們的重要數(shù)據(jù)的位置，很多管理員在調(diào)查中承認(rèn)他們并不能肯定數(shù)據(jù)庫中包含著重要信息。

從調(diào)查結(jié)果中，我們已經(jīng)確定了泄漏事故發(fā)生率居高不下的最主要原因，除非企業(yè)對這些做法進(jìn)行適當(dāng)控制，否則數(shù)據(jù)泄漏事故還將繼續(xù)制造新聞。

企業(yè)數(shù)據(jù)庫安全失效的五大原因1. 企業(yè)仍然不知道重要數(shù)據(jù)的位置

在企業(yè)可以保護(hù)他們的重要數(shù)據(jù)之前，他們必須知道重要數(shù)據(jù)的位置。不幸的是，在當(dāng)今快節(jié)奏的IT環(huán)境，很多管理員發(fā)現(xiàn)很難在眾多數(shù)據(jù)庫中追蹤重要信息。

事實(shí)上，他們只是不知道哪些數(shù)據(jù)庫包含或者不包含諸如個人身份信息等數(shù)據(jù)。調(diào)查發(fā)現(xiàn)，48%的受訪者承認(rèn)他們不清楚企業(yè)中哪些數(shù)據(jù)庫包含機(jī)密信息。

部分原因在于現(xiàn)在企業(yè)運(yùn)行著大量的數(shù)據(jù)庫。大約35%的企業(yè)運(yùn)行11到100個數(shù)據(jù)庫，將近40%的企業(yè)運(yùn)行超過100個數(shù)據(jù)庫，而13%的企業(yè)運(yùn)行1000多個數(shù)據(jù)庫。

更復(fù)雜的問題是，非常多的重要信息位于生產(chǎn)數(shù)據(jù)庫外部。大約有37%的企業(yè)承認(rèn)他們在非生產(chǎn)數(shù)據(jù)庫使用生產(chǎn)數(shù)據(jù)，在這些受訪者中，39%表示這些數(shù)據(jù)包含個人身份信息或者他們并不確定是否包含。

企業(yè)數(shù)據(jù)庫安全失效的五大原因2. 安全監(jiān)控力度不足

有這么多的數(shù)據(jù)庫需要追蹤，如果企業(yè)真的想清楚知道哪些人訪問了重要數(shù)據(jù)，他們必須明確如何監(jiān)測這些數(shù)據(jù)的活動。然而，只有四分之一的企業(yè)部署了自動化工具來定期監(jiān)測數(shù)據(jù)庫行為，這個數(shù)據(jù)自IOUG從2008年開始訪問數(shù)據(jù)庫管理員以來就大致保持不變。

IOUG還發(fā)現(xiàn)，雖然72%的企業(yè)表示至少在一些數(shù)據(jù)庫上使用本地審計(jì)工具，很少的管理員會真正查看這些工具生成的數(shù)據(jù)。大約有11%的企業(yè)表示他們會定期手動監(jiān)測數(shù)據(jù)庫。

25%的企業(yè)表示他們沒有辦法確定數(shù)據(jù)庫是否發(fā)生了未經(jīng)授權(quán)更改。只有30%的企業(yè)表示他們能夠在大多數(shù)數(shù)據(jù)庫中檢查出這種更改。約有46%的受訪者表示他們只能夠檢測中某些數(shù)據(jù)庫中的未經(jīng)授權(quán)更改。

然而，在那些可以發(fā)現(xiàn)未經(jīng)授權(quán)更改的受訪者中，響應(yīng)時間都很慢。只有12%的受訪者表示他們能夠在一個小時內(nèi)檢測出未經(jīng)授權(quán)更改，而約有33%的受訪者表示他們最多一天內(nèi)可以察覺。大約16%的受訪者表示需要一天或者更長事件，40%表示他們不確定什么時候能夠察覺未經(jīng)授權(quán)更改。

企業(yè)數(shù)據(jù)庫安全失效的五大原因3. 特權(quán)用戶運(yùn)行不受制止

IOUG調(diào)查的一名受訪者表示，“我們最大的風(fēng)險可能是員工肆意運(yùn)行，我們可以很快察覺，但是可能還是無法避免嚴(yán)重?fù)p害。”

這是很多管理員共同的心聲，約有22%受訪者將內(nèi)部攻擊者列為他們最大的數(shù)據(jù)庫安全風(fēng)險，而另外12%受訪者表示濫用特權(quán)是最大的威脅。

盡管大家都知道這個威脅，但是卻很少有企業(yè)采取行動來減輕這些風(fēng)險。高達(dá)四分之三的企業(yè)并有或者不確定他們是否有辦法制止特權(quán)用戶濫用或者攻擊數(shù)據(jù)庫信息。只有23%的企業(yè)有辦法阻止特權(quán)用戶的意外更高。四分之一的企業(yè)，即使是普通用戶都可以繞過應(yīng)用程序獲取對重要數(shù)據(jù)的直接訪問。

也許更令人擔(dān)心的是，面對未經(jīng)授權(quán)訪問和惡意篡改數(shù)據(jù)，很多公司無法保護(hù)審計(jì)數(shù)據(jù)。大約有57%的受訪者并沒有將數(shù)據(jù)庫審計(jì)數(shù)據(jù)放到中央安全位置，從而使特權(quán)用戶可以在未經(jīng)授權(quán)訪問或者篡改信息后更改審計(jì)數(shù)據(jù)來掩藏他們的蹤跡。

企業(yè)數(shù)據(jù)庫安全失效的五大原因4. 數(shù)據(jù)庫補(bǔ)丁修復(fù)緩慢

現(xiàn)在很多數(shù)據(jù)泄漏事故都出自利用數(shù)據(jù)庫和web應(yīng)用程序漏洞攻入重要數(shù)據(jù)存儲位置的黑客之手。根據(jù)最新Verizon2010數(shù)據(jù)泄漏調(diào)查報告顯示，去年的數(shù)據(jù)泄漏事故中有90%涉及SQL注入攻擊。

雖然企業(yè)完全可以通過保持更新數(shù)據(jù)庫和以安全的方式配置來避免這些攻擊，但是他們根本沒有抓住這個機(jī)會來減輕風(fēng)險。IOUG調(diào)查發(fā)現(xiàn)63%的管理員承認(rèn)他們的關(guān)鍵補(bǔ)丁更新至少有一個周期時間的延誤。最令人關(guān)注的是，17%的管理員表示他們從來沒有修復(fù)補(bǔ)丁或者并不確定是否修復(fù)了補(bǔ)丁。

企業(yè)數(shù)據(jù)庫安全失效的五大原因5. 加密不足

雖然HIPAA和PCL DSS等法規(guī)要求企業(yè)加密或者確定數(shù)據(jù)庫內(nèi)的個人身份信息，但企業(yè)內(nèi)對個人身份信息的數(shù)據(jù)庫加密仍然遠(yuǎn)遠(yuǎn)不夠。少于三分之一的管理員表示，他們會對所有數(shù)據(jù)庫內(nèi)的個人身份信息進(jìn)行加密，而38%則表示，他們沒有加密個人身份信息或者不確定是否加密。對進(jìn)出數(shù)據(jù)庫的網(wǎng)絡(luò)流量的加密也是同樣如此，大約23%的企業(yè)表示他們加密所有流量，而35%承認(rèn)他們沒有加密流量或者不確定是否加密。

數(shù)據(jù)庫加密真正的致命弱點(diǎn)就是數(shù)據(jù)庫備份和數(shù)據(jù)庫副本如何被發(fā)送到公司外合作伙伴的方式。不到一半的企業(yè)可以明確的表示，他們沒有發(fā)送未加密數(shù)據(jù)庫信息到公司外部。只有16%的企業(yè)表示他們對所有數(shù)據(jù)庫備份和數(shù)據(jù)庫副本進(jìn)行了加密。