數據庫管理員們的七個安全好習慣

無論數據庫管理員、信息安全專業人士還是同時身兼兩種角色，負責維護企業數據庫當中所保存信息的技術團隊必須建立良好的安全習慣、從而實現份內的保護目標。這些實踐立足于堅實的數據安全規劃，但根據本周由獨立甲骨文用戶團隊（簡稱IOUG）發布的《2013年企業數據安全調查》顯示，對于大部分企業來說制定這一規劃本身已經是個不易實現的任務。
    今年的IOUG數據安全調查特別關注了數據庫安全形勢，并以2013年業界領先與落后企業的實際處理方式為基礎、詳盡分析了他們在數據庫安全領域的表現。這份調查報告所提到的“領先企業”是指那些切實完成了三項基準保護措施（在今天的文章中都將提到）的公司，即：數據庫內容敏感性或者受限識別、數據靜態或者動態加密以及監控生產數據庫的非授權訪問或者修改等。相比之下，落后企業是指那些在以上幾個方面表現欠佳的公司。根據調查結果來看，約有22%的受訪方被歸結為領導企業、約有20%屬于落后企業，其它則占據中游位置。

不出意外，各領導企業在報告中稱他們遭遇數據泄露事故的機率僅為落后企業的三分之一。探討這些機構在日常數據庫安全實踐中的處理方案能為我們提供寶貴的教訓，從而指導大家在數據庫安全保障規程中取得更理想的效果。
   1. 他們了解敏感數據身在何處
    除非一家企業清楚地掌握著內部敏感數據的所在位置，否則他們很難有針對性地圍繞這些信息開展保護及控制工作。根據IOUG的調查，目前約有七成企業表示他們明確了解哪些數據庫當中包含有敏感或者受管信息。這一結果與三年前相比出現了顯著改善?；叵?010年，只有一半多一點的受訪企業能夠自信地作出這樣的回應。這一點不僅對于設置控制機制意義重大，同時也會在控制手段部署完成后確保企業自身以更為主動的姿態發現泄露事故--而不會傻傻等著外部組織發現并提醒此類事故的發生。
    “大多數遭遇數據泄露事故的企業自身對此都毫不知情，壞消息往往是由第三方傳達過來的，”甲骨文公司數據庫安全產品管理主管Roxana Bradescu指出?！昂茱@然，沒人希望自己的數據泄露問題是由新聞媒體或者第三方發現并通知給自己的。在這類控制機制的輔助下，我們至少能夠發現自身是否遭遇了數據泄露問題--這本身就是一種巨大的數據安全進步?！?br />    2.他們頻繁組織審計工作
    企業正越來越多地就針對數據庫的訪問方式進行審計，但審計工作的頻率仍然有待提高?；叵?010年，能夠每月至少進行一次數據安全審計的企業僅占受訪總數的15%，時至今日這一比例已經上升為23%。
    在這方面，先進企業取得了大大超過落后企業的顯著優勢，有33%的先進企業聲稱會以一個月甚至更短時間為審計周期，而只有8%的落后企業能達到同樣的頻率。
    Unisphere研究公司研究分析師Joseph McKendrick是IOUG調查的負責人，他提醒稱實際上審計本身也很可能只是面子工程。
    舉例來說，一位匿名受訪者曾在調查過程中告訴他，“我們確實會對高權限用戶的訪問情況進行審計，但并不針對他們的具體操作內容。換言之，我們能夠準確把握誰在什么時候訪問過數據庫，但在大多數情況下卻不知道他們到底干了些什么。在這方面，我們還需要實施額外的審計規程?！?br />    3.他們監控數據庫活動與系統變更
    審計在安全工作中非常重要，但連續監控在察覺潛在問題、預防災難性數據泄露方面的表現則更為出色。遺憾的是，只有極少數企業手中掌握著進行各類未授權活動檢測所必需的實踐方案以及技術。根據調查顯示，只有37%的受訪企業有能力在二十四小時以內檢測出未經授權的數據庫訪問或者變更?！叭狈ο嚓P保護措施及技能的企業數量非常龐大，”Bradescu指出?！拔覀兿Ｍ棠茉跀祿飚斨袃戎冒踩呗?，我們也希望能夠監控所有指向數據庫的活動?！?br />     盡管在高權限用戶活動、失敗登錄信息以及簽到等活動當中推行監控機制的企業數量目前已經超過一半，但其它方面的針對性監控仍然不夠普遍。舉例來說，只有37%的企業會持續追蹤指向敏感表或者列的寫入活動，而且只有31%的企業會持續追蹤指向敏感表或者列的讀取活動。
   4. 他們通過加密防止數據庫內容泄露
    即使一套數據庫已經擁有最為先進的控制與監控機制，沒有堅實的加密方案作為依托，所有投入仍然有可能化為泡影。問題在于，缺乏偽裝或者加密的數據內容，攻擊者很可能徹底繞過數據庫平臺本身、通過數據庫所使用的數據存儲文件獲取其中保存的信息，Bradescu提醒道。
    “因此，除非我們將數據加密機制落實到位，否則我們無法避免攻擊者繞開數據庫的迂回式攻擊活動，"她解釋道。"數據加密可以說是數據庫安全的真正基礎，因為大家只有以此為前提才能在數據庫當中實現有效的安全控制效果?！?br />     根據IOUG調查報告顯示，數據庫加密工作在過去五年來獲得了穩定的發展與進步。在2008年，只有57%的企業表示已經在部分或者全部數據庫當中采用了加密機制，而時至今日這一比例已經上升至70%。
   5.他們通過控制措施防止應用程序旁支攻擊
    與上一條類似，在數據庫安全保護方面擁有豐富經驗的企業也懂得確保訪問來源單純性的重要意義，即只允許利用相關接入應用訪問保存在數據庫中的信息。
    “我們希望確保自己的數據庫不會受到他人訪問，除非對方經由相關應用程序，”Bradescu表示。
    根據IOUG調查報告，先進企業與落后企業在這一領域的表現相差10%。只有28%的先進企業允許用戶直接利用臨時工具或者電子表格訪問來自數據庫的數據，但落后企業中允許這種方式的比例則達到38%。
   6.他們管理高權限用戶的訪問流程
    超級用戶賬戶擁有開啟數據庫這座財富王國大門的鑰匙，因此需要經過嚴格管理以確保數據庫內容不受侵擾。所謂超級用戶賬戶不僅包括由數據庫管理員所使用的管理賬戶，同時也涵蓋那些被賦予高度數據庫權限、旨在簡化開發者在編程時與數據庫對接的應用程序賬戶。
    “越來越多的企業開始監控自己的數據資產并采取措施對超級用戶加以標注，”McKendrick寫道?！安贿^大多數企業仍然無法切實監控高權限用戶的全部在線活動?！?br />     在這方面領導企業與落后企業之間形成了鮮明的差距。約有一半的領先企業報告稱自身已經制定措施、旨在防止擁有高權限的用戶篡改敏感信息；相比之下，只有22%的落后企業能夠做到這一點。在所有企業當中，制定特權用戶控制機制的企業占34%，這一比例與2010年相比高出約10%--當時只有不足分四之一的企業具備此類防范意識。
   7. 他們只在生產數據庫內處理生產數據
    在分級品質保障以及開發等領域中，草率地傳播生產數據長久以來一直成為數據庫安全規劃的致命軟肋。強大的數據庫安全規劃要求生產數據必須始終駐留在配備全面控制機制的數據庫環境下，而不應接觸其它缺乏同樣安全保障的普通環境當中。
    根據IOUG調查報告顯示，約有半數受訪企業仍然會在數據中心之外使用實時生產數據。
    “除此之外，盡管數據安全意識在最近幾年有所增強，但自2008年首次引入調查報告以來、實時數據流出業務環境的情況仍然時有發生，”McKendrick指出。