毋庸置疑,數據對於一個企業來說就像人的血液一樣重要,人,如果沒了血,就沒辦法活着,企業也如此,如果沒了數據,企業也是難以生存的。那麼對於一個企業來說,它的命脈是什麼?答案可想而知,那就是數據!數據是任何企業的命脈,任何企業都不例外。重要的數據,例如電信行業的姓名、電話、地址等關鍵客戶信息;金融行業的成員單位公司信息、賬戶、交易、結算、信貸信息;軍工行業的產品名稱、型號、關鍵描述信息;醫療行業的醫生、藥品、劑量、單價、應收金額等信息都是不同行業中企業的重要數據。沒有它們或者丟失它們,無論是對企業還是對客戶造成的損失都是非常嚴重的。
現在,大部分企業的數據庫存在着非常嚴重的安全威脅,***們增說過:“可能沒有比笨拙的企業數據庫更好對付的目標了。”敏感的信息和脆弱的安全管理,已經使數據庫服務器變成***最誘人的目標。一般來說,企業的數據庫中彙集着公司最重要的機密,就像我上面所提到的,其實還很多,比如:客戶名單、工資記錄等,這些都是最容易賣出的好價錢。何況數據庫的管理員們往往不會想在安全性上精益求精,而且數據庫本身常常和網絡應用聯繫在一起,大大增加了數據庫的危險性。
在Verizon Business的年度計算機破壞報告中,調查小組報告說,在2010年的數據丟失案中,數據庫破壞佔據了25%。更糟糕的是,在數據***的統計中,數據庫***高達92%(參見下圖)。由於敏感信息往往是儲存在一個單獨的數據庫中,一次簡單的***就可能導致企業遭受重大損失。
92%,多麼可怕地數字,從這個數字中我們能看出什麼,我們能發現安全威脅在很大比例上都來自於數據庫。Forrester Research曾研究發現,大多數數據庫管理員僅花費不到5%的時間來保證數據庫的安全。
我要說的是,其實在企業當中,人們對數據庫的安全問題還不夠重視,並沒有採取什麼行之有效的防護手段來避免潛在的威脅。所以,在這裏,我給大家提出幾點建議以使數據得到充分保護。
1、存儲加密
在大部分企業中,數據庫的底層存儲實際上是未經加密處理的,數據文件、備份磁帶的丟失都存在重大的泄密風險,目前已有很多類似於MyDul的成熟免費解析軟件,可對數據文件直接分析,輸出清晰的、結構化的數據。
如果企業通過數據存儲加密,便能夠從根本上保證數據的安全,即使反向解析數據文件仍是數據加密過的亂碼。
2、三權分立
很多大型企業還存在這樣一個問題,數據庫管理員(DBA)擁有着至高無上的管理權限,DBA可以無限制的看到所有的數據,即便是這些擁有超級權限的人是值得信賴的人,就沒有數據泄漏的隱患了嗎?
建議還是實行DBA、安全管理員和審計管理員三權分立的管理辦法,對特權用戶進行有效地權利拆分,即使是DBA用戶,在未經DSA用戶授權時照樣無法訪問到經過加密的數據;審計管理員可以對DSA的授權行爲和數據庫用戶的數據訪問行爲進行審計和追蹤。
3、應用綁定
很多人也許不理解什麼是應用綁定,其實簡單理解就是將合法用戶於應用系統進行綁定,同一用戶只能通過指定的應用系統訪問到敏感數據,前提是這些敏感數據是已經被加密了的。
我們爲什麼需要應用綁定呢?對於應用系統使用的合法數據庫用戶,普遍存在的一種現象是由於人爲因素或管理不善,用戶名及口令很容易泄漏給第三方人員,他們得到用戶名和口令之後便可以通過命令行或管理工具等技術手段直接訪問經過加密的數據,批量竊取數據。