数据库是计算机应用系统中的一种专门管理数据库资源的系统。数据具有多种形式,如文字/数码/符号/图形/图象以及声音。数据库系统立足于数据本身的管理,将所有的数据保存于数据库中,进行科学地组织,借助于数据库管理系统,并以此为中介,与各种应用程序或应用系统接口,使之能方便地使用并管理数据库中的数据,如数据查询/添加/删除/修改等。
数据库是任何商业和公共安全中最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。
很多企业都花费很多精力保护敏感信息免受外部攻击者攻击,但是他们却忽视了对数据库最具威胁的:授权用户。
“企业都很少关注他们的生产数据,这让我很惊讶,”数据库咨询公司Pine Horse的所有者James Koopmann表示,“他们几乎允许任何人插入共享软件、免费软件和演示工具来访问重要生产数据,而不担心数据可能被更改、检索或者删除。”
根据最新的数据库安全报告显示,主要存在五个因素可能导致数据库泄露:忽视、糟糕的密码管理、共享账户、不受限制的数据访问以及过度的数据可移动性。
首先是缺乏安全教育。在2009安全调查中,要求受访者对采用的不同安全强化方式所花费的时间进行选择,结果发现,用户培训被排在第九位(共十位),仅次于日志文件分析。在CompTIA第七次年度信息安全趋势报告中发现,接受调查的企业中有85%企业表示,对非IT人员进行安全培训明显改善了数据泄漏问题。
安全培训的目的必须是确保数据库工作人员能够弄清楚他们处理的数据的重要性和价值,这样他们对待工作就会更加谨慎。
糟糕的密码管理是另一个常见问题。不管是IT部门允许数据库用户设置简单好记的密码,还是他们制定复杂的密码,让员工不得不把密码写下来贴在显示器上。
“我们为数据库用户设计的密码既不能简单好记,又不能太复杂,以保护系统免受外部攻击者攻击,”数据库咨询公司Open Data Systems的首席执行官George Jucan。
账户共享也同样会带来安全问题。有些用户会借用他们同事的登陆凭证,还有些人会通过高级别的应用程序服务器登陆凭证来获取数据访问权限,甚至还有可能在没有留下任何线索的情况下访问数据库,这种时候,日志文件分析也发挥不了作用了。
无限制的数据访问是另一个问题,在很多情况下,员工通常能够访问他们工作所没有涉及的信息。
“现在大多数数据库都能够提供基于角色的访问权限设置,但是很少有公司会利用这个功能,”Jucan表示,“如果有人甚至没有看到数据库中存在的某些数据,也就不会带来后顾之忧。”
企业们还应该考虑数据屏蔽技术来限制用户对重要数据与合规数据资产(如社会安全号)的访问,在不影响用户完成本职工作的情况下。
最后,可以仔细看看保护数据的技术和做法,因为现在数据越来越便于携带,当前企业面临的最大威胁就是授权用户可以很简单地从数据库下载大量数据到电子表、笔记本或者便携式存储设备中。专家表示,有很多工具可以帮助保护便携式数据,如数据库活动监控、数据丢失防护和加密等。