企业数据库安全失效的五大缘由

虽然数据库安全最佳作法已经讨论了几年，而且现有的数据库安全工具也已经成熟，但如今企业仍然没法确保最机密数据的存储安全。近日独立Oracle用户集团发布的数据安全调查结果就揭露了企业最多见的数据库安全错误。

从这些结果来看，很明显，如今大多数企业都是凭感受在运行数据库安全。绝大多数企业根本没有监控他们的数据库，或者说以特设的方式来监控。更使人不安的是，大多数企业甚至不知道他们的重要数据的位置，不少管理员在调查中认可他们并不能确定数据库中包含着重要信息。

从调查结果中，咱们已经肯定了泄漏事故发生率居高不下的最主要缘由，除非企业对这些作法进行适当控制，不然数据泄漏事故还将继续制造新闻。

1. 企业仍然不知道重要数据的位置

在企业能够保护他们的重要数据以前，他们必须知道重要数据的位置。不幸的是，在当今快节奏的IT环境，不少管理员发现很难在众多数据库中追踪重要信息。

事实上，他们只是不知道哪些数据库包含或者不包含诸如我的身份信息等数据。调查发现，48%的受访者认可他们不清楚企业中哪些数据库包含机密信息。

部分缘由在于如今企业运行着大量的数据库。大约35%的企业运行11到100个数据库，将近40%的企业运行超过100个数据库，而13%的企业运行1000多个数据库。

更复杂的问题是，很是多的重要信息位于生产数据库外部。大约有37%的企业认可他们在非生产数据库使用生产数据，在这些受访者中，39%表示这些数据包含我的身份信息或者他们并不肯定是否包含。

2. 安全监控力度不足

有这么多的数据库须要追踪，若是企业真的想清楚知道哪些人访问了重要数据，他们必须明确如何监测这些数据的活动。然而，只有四分之一的企业部署了自动化工具来按期监测数据库行为，这个数据自IOUG从2008年开始访问数据库管理员以来就大体保持不变。

IOUG还发现，虽然72%的企业表示至少在一些数据库上使用本地审计工具，不多的管理员会真正查看这些工具生成的数据。大约有11%的企业表示他们会按期手动监测数据库。

25%的企业表示他们没有办法肯定数据库是否发生了未经受权更改。只有30%的企业表示他们可以在大多数数据库中检查出这种更改。约有46%的受访者表示他们只可以检测中某些数据库中的未经受权更改。

然而，在那些能够发现未经受权更改的受访者中，响应时间都很慢。只有12%的受访者表示他们可以在一个小时内检测出未经受权更改，而约有33%的受访者表示他们最多一天内能够察觉。大约16%的受访者表示须要一天或者更长事件，40%表示他们不肯定何时可以察觉未经受权更改。

3. 特权用户运行不受制止

IOUG调查的一名受访者表示，“咱们最大的风险多是员工肆意运行，咱们能够很快察觉，可是可能仍是没法避免严重损害。”

这是不少管理员共同的心声，约有22%受访者将内部***者列为他们最大的数据库安全风险，而另外12%受访者表示滥用特权是最大的威胁。

尽管你们都知道这个威胁，可是却不多有企业采起行动来减轻这些风险。高达四分之三的企业并有或者不肯定他们是否有办法制止特权用户滥用或者***数据库信息。只有23%的企业有办法阻止特权用户的意外更高。四分之一的企业，即便是普通用户均可以绕过应用程序获取对重要数据的直接访问。

也许更使人担忧的是，面对未经受权访问和恶意篡改数据，不少公司没法保护审计数据。大约有57%的受访者并无将数据库审计数据放到中央安全位置，从而使特权用户能够在未经受权访问或者篡改信息后更改审计数据来掩藏他们的踪影。

4. 数据库补丁修复缓慢

如今不少数据泄漏事故都出自利用数据库和web应用程序漏洞攻入重要数据存储位置的***之手。根据最新Verizon2010数据泄漏调查报告显示，去年的数据泄漏事故中有90%涉及SQL注入***。

虽然企业彻底能够经过保持更新数据库和以安全的方式配置来避免这些***，可是他们根本没有抓住这个机会来减轻风险。IOUG调查发现63%的管理员认可他们的关键补丁更新至少有一个周期时间的延误。最使人关注的是，17%的管理员表示他们历来没有修复补丁或者并不肯定是否修复了补丁。

5. 加密不足

虽然HIPAA和PCI DSS等法规要求企业加密或者肯定数据库内的我的身份信息，但企业内对我的身份信息的数据库加密仍然远远不够。少于三分之一的管理员表示，他们会对全部数
据库内的我的身份信息进行加密，而38%则表示，他们没有加密我的身份信息或者不肯定是否加密。对进出数据库的网络流量的加密也是一样如此，大约23%的企业表示他们加密全部流量，而35%认可他们没有加密流量或者不肯定是否加密。

数据库加密真正的致命弱点就是数据库备份和数据库副本如何被发送到公司外合做伙伴的方式。不到一半的企业能够明确的表示，他们没有发送未加密数据库信息到公司外部。只有16%的企业表示他们对全部数据库备份和数据库副本进行了加密。

 

[注]本文转载自：http://www.cnw.com.cn/securitywebsecurity/htm2011/20110407_220964.shtml