数据库管理员们的七个安全好习惯
无论数据库管理员、信息安全专业人士还是同时身兼两种角色,负责维护企业数据库当中所保存信息的技术团队必须建立良好的安全习惯、从而实现份内的保护目标。这些实践立足于坚实的数据安全规划,但根据本周由独立甲骨文用户团队(简称IOUG)发布的《2013年企业数据安全调查》显示,对于大部分企业来说制定这一规划本身已经是个不易实现的任务。
今年的IOUG数据安全调查特别关注了数据库安全形势,并以2013年业界领先与落后企业的实际处理方式为基础、详尽分析了他们在数据库安全领域的表现。这份调查报告所提到的“领先企业”是指那些切实完成了三项基准保护措施(在今天的文章中都将提到)的公司,即:数据库内容敏感性或者受限识别、数据静态或者动态加密以及监控生产数据库的非授权访问或者修改等。相比之下,落后企业是指那些在以上几个方面表现欠佳的公司。根据调查结果来看,约有22%的受访方被归结为领导企业、约有20%属于落后企业,其它则占据中游位置。
不出意外,各领导企业在报告中称他们遭遇数据泄露事故的机率仅为落后企业的三分之一。探讨这些机构在日常数据库安全实践中的处理方案能为我们提供宝贵的教训,从而指导大家在数据库安全保障规程中取得更理想的效果。
1. 他们了解敏感数据身在何处
除非一家企业清楚地掌握着内部敏感数据的所在位置,否则他们很难有针对性地围绕这些信息开展保护及控制工作。根据IOUG的调查,目前约有七成企业表示他们明确了解哪些数据库当中包含有敏感或者受管信息。这一结果与三年前相比出现了显著改善。回想2010年,只有一半多一点的受访企业能够自信地作出这样的回应。这一点不仅对于设置控制机制意义重大,同时也会在控制手段部署完成后确保企业自身以更为主动的姿态发现泄露事故--而不会傻傻等着外部组织发现并提醒此类事故的发生。
“大多数遭遇数据泄露事故的企业自身对此都毫不知情,坏消息往往是由第三方传达过来的,”甲骨文公司数据库安全产品管理主管Roxana Bradescu指出。“很显然,没人希望自己的数据泄露问题是由新闻媒体或者第三方发现并通知给自己的。在这类控制机制的辅助下,我们至少能够发现自身是否遭遇了数据泄露问题--这本身就是一种巨大的数据安全进步。”
2.他们频繁组织审计工作
企业正越来越多地就针对数据库的访问方式进行审计,但审计工作的频率仍然有待提高。回想2010年,能够每月至少进行一次数据安全审计的企业仅占受访总数的15%,时至今日这一比例已经上升为23%。
在这方面,先进企业取得了大大超过落后企业的显著优势,有33%的先进企业声称会以一个月甚至更短时间为审计周期,而只有8%的落后企业能达到同样的频率。
Unisphere研究公司研究分析师Joseph McKendrick是IOUG调查的负责人,他提醒称实际上审计本身也很可能只是面子工程。
举例来说,一位匿名受访者曾在调查过程中告诉他,“我们确实会对高权限用户的访问情况进行审计,但并不针对他们的具体操作内容。换言之,我们能够准确把握谁在什么时候访问过数据库,但在大多数情况下却不知道他们到底干了些什么。在这方面,我们还需要实施额外的审计规程。”
3.他们监控数据库活动与系统变更
审计在安全工作中非常重要,但连续监控在察觉潜在问题、预防灾难性数据泄露方面的表现则更为出色。遗憾的是,只有极少数企业手中掌握着进行各类未授权活动检测所必需的实践方案以及技术。根据调查显示,只有37%的受访企业有能力在二十四小时以内检测出未经授权的数据库访问或者变更。“缺乏相关保护措施及技能的企业数量非常庞大,”Bradescu指出。“我们希望供应商能在数据库当中内置安全策略,我们也希望能够监控所有指向数据库的活动。”
尽管在高权限用户活动、失败登录信息以及签到等活动当中推行监控机制的企业数量目前已经超过一半,但其它方面的针对性监控仍然不够普遍。举例来说,只有37%的企业会持续追踪指向敏感表或者列的写入活动,而且只有31%的企业会持续追踪指向敏感表或者列的读取活动。
4. 他们通过加密防止数据库内容泄露
即使一套数据库已经拥有最为先进的控制与监控机制,没有坚实的加密方案作为依托,所有投入仍然有可能化为泡影。问题在于,缺乏伪装或者加密的数据内容,攻击者很可能彻底绕过数据库平台本身、通过数据库所使用的数据存储文件获取其中保存的信息,Bradescu提醒道。
“因此,除非我们将数据加密机制落实到位,否则我们无法避免攻击者绕开数据库的迂回式攻击活动,"她解释道。"数据加密可以说是数据库安全的真正基础,因为大家只有以此为前提才能在数据库当中实现有效的安全控制效果。”
根据IOUG调查报告显示,数据库加密工作在过去五年来获得了稳定的发展与进步。在2008年,只有57%的企业表示已经在部分或者全部数据库当中采用了加密机制,而时至今日这一比例已经上升至70%。
5.他们通过控制措施防止应用程序旁支攻击
与上一条类似,在数据库安全保护方面拥有丰富经验的企业也懂得确保访问来源单纯性的重要意义,即只允许利用相关接入应用访问保存在数据库中的信息。
“我们希望确保自己的数据库不会受到他人访问,除非对方经由相关应用程序,”Bradescu表示。
根据IOUG调查报告,先进企业与落后企业在这一领域的表现相差10%。只有28%的先进企业允许用户直接利用临时工具或者电子表格访问来自数据库的数据,但落后企业中允许这种方式的比例则达到38%。
6.他们管理高权限用户的访问流程
超级用户账户拥有开启数据库这座财富王国大门的钥匙,因此需要经过严格管理以确保数据库内容不受侵扰。所谓超级用户账户不仅包括由数据库管理员所使用的管理账户,同时也涵盖那些被赋予高度数据库权限、旨在简化开发者在编程时与数据库对接的应用程序账户。
“越来越多的企业开始监控自己的数据资产并采取措施对超级用户加以标注,”McKendrick写道。“不过大多数企业仍然无法切实监控高权限用户的全部在线活动。”
在这方面领导企业与落后企业之间形成了鲜明的差距。约有一半的领先企业报告称自身已经制定措施、旨在防止拥有高权限的用户篡改敏感信息;相比之下,只有22%的落后企业能够做到这一点。在所有企业当中,制定特权用户控制机制的企业占34%,这一比例与2010年相比高出约10%--当时只有不足分四之一的企业具备此类防范意识。
7. 他们只在生产数据库内处理生产数据
在分级品质保障以及开发等领域中,草率地传播生产数据长久以来一直成为数据库安全规划的致命软肋。强大的数据库安全规划要求生产数据必须始终驻留在配备全面控制机制的数据库环境下,而不应接触其它缺乏同样安全保障的普通环境当中。
根据IOUG调查报告显示,约有半数受访企业仍然会在数据中心之外使用实时生产数据。
“除此之外,尽管数据安全意识在最近几年有所增强,但自2008年首次引入调查报告以来、实时数据流出业务环境的情况仍然时有发生,”McKendrick指出。
数据分析咨询请扫描二维码
Excel是数据分析的重要工具,强大的内置功能使其成为许多分析师的首选。在日常工作中,启用Excel的数据分析工具库能够显著提升数 ...
2024-12-23在当今信息爆炸的时代,数据分析师如同一位现代社会的侦探,肩负着从海量数据中提炼出有价值信息的重任。在这个过程中,掌握一系 ...
2024-12-23在现代的职场中,制作吸引人的PPT已经成为展示信息的重要手段,而其中数据对比的有效呈现尤为关键。为了让数据在幻灯片上不仅准 ...
2024-12-23在信息泛滥的现代社会,数据分析师已成为企业决策过程中不可或缺的角色。他们的任务是从海量数据中提取有价值的洞察,帮助组织制 ...
2024-12-23在数据驱动时代,数据分析已成为各行各业的必需技能。无论是提升个人能力还是推动职业发展,选择一条适合自己的学习路线至关重要 ...
2024-12-23在准备数据分析师面试时,掌握高频考题及其解答是应对面试的关键。为了帮助大家轻松上岸,以下是10个高频考题及其详细解析,外加 ...
2024-12-20互联网数据分析师是一个热门且综合性的职业,他们通过数据挖掘和分析,为企业的业务决策和运营优化提供强有力的支持。尤其在如今 ...
2024-12-20在现代商业环境中,数据分析师是不可或缺的角色。他们的工作不仅仅是对数据进行深入分析,更是协助企业从复杂的数据信息中提炼出 ...
2024-12-20随着大数据时代的到来,数据驱动的决策方式开始受到越来越多企业的青睐。近年来,数据分析在人力资源管理中正在扮演着至关重要的 ...
2024-12-20在数据分析的世界里,表面上的技术操作只是“入门票”,而真正的高手则需要打破一些“看不见的墙”。这些“隐形天花板”限制了数 ...
2024-12-19在数据分析领域,尽管行业前景广阔、岗位需求旺盛,但实际的工作难度却远超很多人的想象。很多新手初入数据分析岗位时,常常被各 ...
2024-12-19入门数据分析,许多人都会感到“难”,但这“难”究竟难在哪儿?对于新手而言,往往不是技术不行,而是思维方式、业务理解和实践 ...
2024-12-19在如今的行业动荡背景下,数据分析师的职业前景虽然面临一些挑战,但也充满了许多新的机会。随着技术的不断发展和多领域需求的提 ...
2024-12-19在信息爆炸的时代,数据分析师如同探险家,在浩瀚的数据海洋中寻觅有价值的宝藏。这不仅需要技术上的过硬实力,还需要一种艺术家 ...
2024-12-19在当今信息化社会,大数据已成为各行各业不可或缺的宝贵资源。大数据专业应运而生,旨在培养具备扎实理论基础和实践能力,能够应 ...
2024-12-19阿里P8、P9失业都找不到工作?是我们孤陋寡闻还是世界真的已经“癫”成这样了? 案例一:本硕都是 985,所学的专业也是当红专业 ...
2024-12-19CDA持证人Louis CDA持证人基本情况 我大学是在一个二线城市的一所普通二本院校读的,专业是旅游管理,非计算机非统计学。毕业之 ...
2024-12-18最近,知乎上有个很火的话题:“一个人为何会陷入社会底层”? 有人说,这个世界上只有一个分水岭,就是“羊水”;还有人说,一 ...
2024-12-18在这个数据驱动的时代,数据分析师的技能需求快速增长。掌握适当的编程语言不仅能增强分析能力,还能帮助分析师从海量数据中提取 ...
2024-12-17在当今信息爆炸的时代,数据分析已经成为许多行业中不可或缺的一部分。想要在这个领域脱颖而出,除了热情和毅力外,你还需要掌握 ...
2024-12-17