×
畅享IT
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918
当前位置:畅享论坛 >  科技  >  网络|安全 > 正文
发帖
回复
(共 0 条) 上一页 下一页
查看: 1255|回复: 0

[转帖]数据库安全终极指南—数据库安全失效的五大原因

[复制链接]

等级:助理
行业:
职能部门:
城市:北京
金币:195

     摘要:以下的文章主要是介绍企业数据库安全失效的5个主要原因,虽然关于数据库安全最佳做法已经整整讨论了几年的时间了,并且现有的数据库安全工具也已经成熟,但现在企业仍然无法确保最机密数据的存储安全。

    近日独立Oracle用户集团发布的数据安全调查结果就揭露了企业最常见的数据库安全错误。从这些结果来看,很明显,现在大多数企业都是凭感觉在运行数据库安全。绝大多数企业根本没有监控他们的数据库,或者说以特设的方式来监控。更令人不安的是,大多数企业甚至不知道他们的重要数据的位置,很多管理员在调查中承认他们并不能肯定数据库中包含着重要信息。

 

    从调查结果中,我们已经确定了泄漏事故发生率居高不下的最主要原因,除非企业对这些做法进行适当控制,否则数据泄漏事故还将继续制造新闻。

 

1. 企业仍然不知道重要数据的位置

 

    在企业可以保护他们的重要数据之前,他们必须知道重要数据的位置。不幸的是,在当今快节奏的IT环境,很多管理员发现很难在众多数据库中追踪重要信息。

 

    事实上,他们只是不知道哪些数据库包含或者不包含诸如个人身份信息等数据。调查发现,48%的受访者承认他们不清楚企业中哪些数据库包含机密信息。

 

    部分原因在于现在企业运行着大量的数据库。大约35%的企业运行11100个数据库,将近40%的企业运行超过100个数据库,而13%的企业运行1000多个数据库。

 

    更复杂的问题是,非常多的重要信息位于生产数据库外部。大约有37%的企业承认他们在非生产数据库使用生产数据,在这些受访者中,39%表示这些数据包含个人身份信息或者他们并不确定是否包含。

 

2. 安全监控力度不足

 

    有这么多的数据库需要追踪,如果企业真的想清楚知道哪些人访问了重要数据,他们必须明确如何监测这些数据的活动。然而,只有四分之一的企业部署了自动化工具来定期监测数据库行为,这个数据自IOUG2008年开始访问数据库管理员以来就大致保持不变。

 

    IOUG还发现,虽然72%的企业表示至少在一些数据库上使用本地审计工具,很少的管理员会真正查看这些工具生成的数据。大约有11%的企业表示他们会定期手动监测数据库。

 

    25%的企业表示他们没有办法确定数据库是否发生了未经授权更改。只有30%的企业表示他们能够在大多数数据库中检查出这种更改。约有46%的受访者表示他们只能够检测中某些数据库中的未经授权更改。

 

    然而,在那些可以发现未经授权更改的受访者中,响应时间都很慢。只有12%的受访者表示他们能够在一个小时内检测出未经授权更改,而约有33%的受访者表示他们最多一天内可以察觉。大约16%的受访者表示需要一天或者更长时间,40%的受访者表示他们不确定什么时候能够察觉未经授权更改。

 

3. 特权用户运行不受制止

 

    IOUG调查的一名受访者表示,我们最大的风险可能是员工肆意运行,我们可以很快察觉,但是可能还是无法避免严重损害。

 

    这是很多管理员共同的心声,约有22%受访者将内部攻击者列为他们最大的数据库安全风险,而另外12%受访者表示滥用特权是最大的威胁。

 

    尽管大家都知道这个威胁,但是却很少有企业采取行动来减轻这些风险。高达四分之三的企业不确定他们是否有办法制止特权用户滥用或者攻击数据库信息。只有23%的企业有办法阻止特权用户的滥用特权。四分之一的企业,即使是普通用户都可以绕过应用程序获取对重要数据的直接访问,缺少权限分离和应用绑定的机制。

 

    也许更令人担心的是,面对未经授权访问和恶意篡改数据,很多公司无法保护审计数据。大约有57%的受访者并没有将数据库审计数据放到中央安全位置,从而使特权用户可以在未经授权访问或者篡改信息后更改审计数据来掩藏他们的踪迹。

 

4. 数据库补丁修复缓慢

 

    现在很多数据泄漏事故都出自利用数据库和web应用程序漏洞攻入重要数据存储位置的黑客之手。根据最新Verizon2010数据泄漏调查报告显示,去年的数据泄漏事故中有92%是来自于数据库攻击。

 

    虽然企业完全可以通过保持更新数据库和以安全的方式配置来避免一些简单的攻击,但是他们根本没有抓住这个机会来减轻风险。IOUG调查发现63%的管理员承认他们的关键补丁更新至少有一个周期时间的延误。最令人关注的是,17%的管理员表示他们从来没有修复补丁或者并不确定是否修复了补丁。

 

5. 加密不足

 

    虽然HIPAAPCL DSS等法规要求企业加密或者确定数据库内的个人身份信息,但企业内对个人身份信息的数据库加密仍然远远不够。少于三分之一的管理员表示,他们会对所有数据库内的个人身份信息进行加密,而38%则表示,他们没有加密个人身份信息或者不确定是否加密。对进出数据库的网络流量的加密也是同样如此,大约23%的企业表示他们加密所有流量,而35%承认他们没有加密流量或者不确定是否加密。

 

    当前大多数企业单位的计算机网络采用的是WindowLinux或者Unix,这些操作系统具有用户授权、任意存取控制、审计安全等功能。虽然数据库管理系统在操作系统的基础上又增加了权限访问控制等安全措施,但是数据库中的数据并没有得到有效保护,实际上并不安全。首先网络黑客会直接利用操作系统工具窃取甚至修改数据库系统中的数据;其次数据库的管理员可以利用自己的权限,任意查询数据库信息。为了保证数据的安全,对数据库进行加密才能起到数据库防泄漏,防范数据遭到窃取和修改的有效手段。

 

转载自:http://securechina.i.sohu.com/blog/view/195644435.htm



畅享论坛提示:看帖后顺手回帖,是对辛苦发帖者的鼓励,是美德。

查阅更多相关主题的帖子: 数据库 加密 特权 泄漏 审计
(共 0 条) 上一页 下一页
您还未登录,不能对文章发表评论!请先登录
2020-07-07 10:25:14 289/2020-07-07 10:25:14 320/2020-07-07 10:25:14 320