2012年确保数据库安全的七大必要措施.pdfVIP

随着新的一年日益临近，各企业也开始为未来的业务进程秣马厉兵，而这也正是我们着 眼于流程与技术，并重新评估它们如何切实降低安全风险的最佳时机。在数据库级别的日常 应用中，某些根本性措施在不少企业中仍然没能得到有效开展。 下面这份操作清单根据数据库安全专家们在2011年内所公布的意见汇总得出。认真学 习并仔细考量能够为我们制定一套完善的安全计划带来巨大帮助，进而指导2012年及之后 阶段的发展方针。 1. 1.确保我们的数据库无法轻易在网上被检索到 11.. 数家企业都在今年遭遇窘境，因为他们的IT部门在配置数据库时保留了面向网络的接 口；在情况下，数据库本身将很容易被从网上检索到。 当下存在的众多数据库都在处理来自不同位置、不同设备的访问请求方面下足了功夫。 在大多数人的观念中，他们认为要对某台服务器进行访问，必须要通过其上运行的某款应用 程序方可实现，而在应用程序之下的实际数据理应由于应用本身的安全性保障而同样比较安 全，RedSealSystem公司CTOMikeLloyd博士如是说。 但大家的数据库就摆在那里， 而且在很多情况下，从投入使用的那一刻开始，它就被配置成与网络相连的状态。 2. 2. 22..更好地对数据加以分类 当企业在尝试将数据库中的高价值数据与低敏感信息加以分类时，他们也就同时获得了 按优先级别管理安全风险以及部署更有针对性的保护机制的能力。 大中型企业在分类工作上做得仍然不够到位，Verizon Business 首席主管 Chris Novak指出。在这些企业中，大家面对的是分布的世界各地的办公室、高校以及其它复合 型设施。而问题在于，如果来自这么多分支机构的大量信息不能加以有效分类，那么原本只 存在于其中一地的风险很可能扩散到整个整个体系中去。 3. 3.确保密码以非纯文本形式存储 33.. 安全措施的一大核心内容是拨乱反正，而在大多数机构中，将数据库密码以纯文本形式 存储就是这乱中最为致命的疏漏之一。 这种情况真的相当普遍，尤其是在那些大型乃至巨型规模的企业中更为明显 相比之下 -- 新兴企业由于自身业务刚刚起步，尽管处于高增长状态下，但却较少成为攻击者的目标， Vormetric公司市场营销与产品管理部门副总裁GretchenHellman如是说。 在匿名恶意组织的觊觎之下，这些密码基本上等于是处在开门揖盗的状态下。 4. 4.加强自身配置 44.. 如果让数据库安全专家给出一条能够对未来一年起到广泛辅助作用的提示，那就是提醒 我们对数据库的现有疏漏进行修补。 在这方面，更新默认登录、系统削减过多的执行特权以及自动检测流程以找出存在隐患 的流氓数据库都是降低安全风险的有效手段。 5. 5. 55..检查明显的加密失误 尽管数据库加密工作在部署方面可谓蒸蒸日上，但其中仍然存在着大量失误，例如将数 据库加密密钥存储在同一台服务器中以及使用过时的加密算法等等。 如果大家对自己数据库中的敏感数据进行加密的话，有一种严重的违规行为需要当心， 即将用于加密数据的密钥或者用于获取密钥的身份验证资格同加密数据存储在同一套数据 库系统内，VoltageSecurity公司安全架构主管LutherMartin提醒道。这么会导致我们在 安全工作上所做的努力化为泡影。尽管表面上看来似乎整套体系似乎相当坚固，但事实上它 基本没能提供什么有效的保护机制。 6. 6.对投保三思而后行 66.. 许多机构都将希望寄托在言辞美妙、承诺诱人的数据故障保险政策上，意图以此作为对 小概率突发事件的防范机制。但专家们认为这些保险规划中其实存在着许多值得注意的问 题。 与企业购买的其它各类保险项目不同，目前数据安全保险还没有一套标准化形式 也就 -- 是说计算机行业由于自身特性而存在一种不确定性，因此无法像常见的员工投保、财产投保 一样采用普遍的责任划分，Innovation保险集团资深顾问兼创始人TySagalow解释道。 另外，这类保险属于所谓盈余投保范畴，这意味着它们并非得到政府