數(shù)據(jù)庫(kù)安全五大阻礙
來(lái)源:易賢網(wǎng) 閱讀:1093 次 日期:2015-09-24 15:25:12
溫馨提示:易賢網(wǎng)小編為您整理了“數(shù)據(jù)庫(kù)安全五大阻礙”,方便廣大網(wǎng)友查閱!

數(shù)據(jù)庫(kù)安全技術(shù)在企業(yè)環(huán)境下的表現(xiàn)總是不夠理想,而在眾多影響效果的因素之中,復(fù)雜性始終是引發(fā)問題的關(guān)鍵。

盡管目前針對(duì)敏感數(shù)據(jù)庫(kù)保護(hù)推出的產(chǎn)品已經(jīng)相當(dāng)成熟、大多數(shù)管理者也擁有一定執(zhí)行經(jīng)驗(yàn),但不少企業(yè)在運(yùn)用綜合性數(shù)據(jù)庫(kù)安全技術(shù)與流程來(lái)保護(hù)關(guān)鍵性數(shù)據(jù)庫(kù)方面仍然有很長(zhǎng)的路要走——更不用說(shuō)企業(yè)數(shù)據(jù)庫(kù)了。雖然合規(guī)性委托正逐步推動(dòng)數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控(簡(jiǎn)稱DAM)工具在企業(yè)層面的普及,但技術(shù)本身在企業(yè)玩意中的成長(zhǎng)仍然受到兩大因素的重重制約,這就是成本與復(fù)雜性。

“在企業(yè)中實(shí)施安全技術(shù)需要面臨重重困難的原因之一在于成本模式,”Securosis公司分析師兼CTO Adrian Lane指出?!昂芏鄷r(shí)候要想在企業(yè)中全面推廣安全方案要求管理者投入巨額資金,但與之形成鮮明對(duì)比的是,方案供應(yīng)商往往將情況描述得很美好、讓人誤以為花不了多少錢就能搞定一切?!?/P>

根據(jù)Lane的說(shuō)法,來(lái)自數(shù)家金融機(jī)構(gòu)的報(bào)告顯示DAM技術(shù)的最終推廣開支比最初預(yù)算高出兩到三倍。

根據(jù)多位安全專家的意見,如今的數(shù)據(jù)庫(kù)安全技術(shù)確實(shí)有些太過(guò)復(fù)雜以至于很難打理。GreenSQL日前對(duì)超過(guò)1300位IT專業(yè)人士開展了調(diào)查,希望了解他們?cè)谔幚頂?shù)據(jù)庫(kù)安全問題時(shí)所面臨的最大阻礙。有31%的受訪者將矛頭指向復(fù)雜性,這也使其順利成為數(shù)據(jù)庫(kù)安全阻礙中的罪魁禍?zhǔn)住?/P>

那么數(shù)據(jù)庫(kù)安全機(jī)制的部署工作到底為什么既昂貴且復(fù)雜?下面我們一起來(lái)看影響最大的五個(gè)因素:

1. 規(guī)模當(dāng)一家小型或中型企業(yè)只需要處理幾十或至多幾百臺(tái)數(shù)據(jù)庫(kù)服務(wù)器的保護(hù)工作時(shí),也許我們還有辦法應(yīng)付下來(lái),GreenSQL公司聯(lián)合創(chuàng)始人兼CTO David Maman指出。但企業(yè)中的數(shù)據(jù)庫(kù)基礎(chǔ)設(shè)施如雨后春筍般迅速涌現(xiàn)并形成規(guī)模,那么保護(hù)工作就變得極為困難、單靠人力操控幾乎無(wú)法實(shí)現(xiàn)。

“走訪全球財(cái)富五百?gòu)?qiáng)企業(yè),我們會(huì)發(fā)現(xiàn)其中約有四成擁有超過(guò)一萬(wàn)臺(tái)數(shù)據(jù)庫(kù)服務(wù)器,”Mamann表示?!霸谌绱她嫶蟮囊?guī)模之上,僅僅對(duì)其中五分之一數(shù)據(jù)庫(kù)進(jìn)行活動(dòng)監(jiān)控就能輕易花掉企業(yè)數(shù)百萬(wàn)美元預(yù)算。”

2.合規(guī)性部署不當(dāng)

大多數(shù)DAM技術(shù)的早期買家都希望能憑借現(xiàn)成方案快速搞定自身SOX合規(guī)性問題。即使是在合規(guī)性仍然作為安全方案銷售主導(dǎo)的今天,我們?nèi)匀幻媾R著嚴(yán)峻現(xiàn)實(shí)——跨數(shù)據(jù)庫(kù)合規(guī)性部署不當(dāng)情況普遍存在,這直接導(dǎo)致安全方案的功能性受到制約、管理員只能分別或同時(shí)使用其中的一小部分功能。

很多時(shí)候購(gòu)買了超過(guò)需要的DAM方案或是沒有按預(yù)期方式使用這項(xiàng)技術(shù)——這基本上已經(jīng)成為一種常態(tài)。

“有趣的是,我最近看到很多使用DAM技術(shù)的用戶沒有進(jìn)行登錄檢測(cè),而這恰恰是我們購(gòu)買這類工具的主要目的,”Lane解釋道?!斑@樣的部署模式太糟糕了,因?yàn)槿绻麙侀_登錄檢測(cè),我們還有很多更便宜的方案來(lái)實(shí)現(xiàn)其它功能訴求?!?/P>

3. SIEM與DAM未能默契配合

根據(jù)Lane的觀點(diǎn),很多企業(yè)在安全機(jī)制身上花了大量時(shí)間、聘請(qǐng)多位專家并投入海量資源,希望打造出全能型安全信息及事件管理(簡(jiǎn)稱SIEM)平臺(tái)。但其中最大的問題在于:除了少數(shù)特例,大部分用戶都沒能讓DAM與SIEM展開默契配合。

“許多企業(yè)選擇對(duì)SIEM進(jìn)行投資并將其視為安全工具的主體方案,換言之業(yè)務(wù)環(huán)境下的所有狀況都應(yīng)被正確反饋到SIEM當(dāng)中,”Lane表示?!暗拐\(chéng)地講,DAM與SIEM很難并行不悖,除非技術(shù)人員能把二者的功能加以全面整合。”

4.性能至上、忽視安全

通過(guò)觀察,Maman發(fā)現(xiàn)即使是在已經(jīng)具備某種監(jiān)控技術(shù)的企業(yè)中,IT團(tuán)隊(duì)仍然不敢利用封鎖機(jī)制預(yù)言濫用狀況的發(fā)生。

“就算是出于安全性考量,他們還是不能承擔(dān)某些敏感信息或必要數(shù)據(jù)無(wú)法被系統(tǒng)調(diào)用的風(fēng)險(xiǎn),”他補(bǔ)充道。

事實(shí)上,“數(shù)據(jù)庫(kù)管理員既了解又忽視”著數(shù)據(jù)庫(kù)安全問題,Lane解釋道。他們通常會(huì)把數(shù)據(jù)安全作為數(shù)據(jù)庫(kù)管理工作中的一項(xiàng)重點(diǎn)——他們甚至愿意在內(nèi)核層面使用代理。然而在管理人員的思維中,安全的重要性永遠(yuǎn)要低于性能表現(xiàn),他指出。而一旦管理工作或政策制定方面出現(xiàn)兩難選擇,他們必然會(huì)首先放棄安全訴求。

“數(shù)據(jù)庫(kù)管理員并不是安全專家,他們不清楚合理威脅是什么、也不知道該如何制定政策加以解決,”他表示。“因此他們會(huì)把希望寄托在工具上,并努力適應(yīng)其中一切不合理之處?!?/P>

數(shù)據(jù)庫(kù)的復(fù)雜性則起到了推波助瀾的作用,它在專注于性能的數(shù)據(jù)庫(kù)管理員與努力規(guī)避風(fēng)險(xiǎn)的安全專家之間構(gòu)建起一道鴻溝,前者不懂安全、后者不了解數(shù)據(jù)庫(kù)運(yùn)行原理。也正是出于這個(gè)原因,GreenSQL的調(diào)查中才有五分之一的受訪者認(rèn)為數(shù)據(jù)庫(kù)安全課題對(duì)技能、溝通等專業(yè)水平的要求是解決一切的最大阻礙。缺乏這樣的專業(yè)知識(shí),我們很可能制定出危險(xiǎn)的配置規(guī)劃、進(jìn)而令安全主動(dòng)權(quán)徹底丟失。

“數(shù)據(jù)庫(kù)往往非常復(fù)雜,所以保證數(shù)據(jù)庫(kù)管理員理解各類配置方案給安全性帶來(lái)的潛在影響就顯得非常重要,”Stonesoft公司技術(shù)部門副總裁Phil Lerner告訴我們。“當(dāng)管理員專注于可用性時(shí),他們往往也同時(shí)忽視了可能引發(fā)安全漏洞并造成機(jī)密數(shù)據(jù)外泄的配置問題。應(yīng)用程序及其訪問與加密處理同樣會(huì)給后端數(shù)據(jù)庫(kù)帶來(lái)重大安全風(fēng)險(xiǎn)?!?/P>

5.應(yīng)用程序復(fù)雜性

數(shù)據(jù)庫(kù)安全課題中的另一大重大挑戰(zhàn)在于,這些數(shù)據(jù)只有在與動(dòng)態(tài)應(yīng)用環(huán)境連接的前提下才能正常發(fā)揮作用——而最嚴(yán)重的安全事故往往與這些連接機(jī)制密不可分。下面我們就以SAP應(yīng)用為例。

“SAP應(yīng)用以一種極為復(fù)雜的方式管理著數(shù)據(jù)庫(kù)架構(gòu),”Maman指出?!八鼤?huì)根據(jù)數(shù)百套不同數(shù)據(jù)庫(kù)的運(yùn)行狀況生成超過(guò)一千套表格,并分別為其創(chuàng)建難以理解的表格標(biāo)題。當(dāng)我們鉆研數(shù)據(jù)庫(kù)內(nèi)容時(shí),必須得拿出大把大把的時(shí)間來(lái)嘗試弄懂自己能在哪個(gè)源應(yīng)用中的哪個(gè)表格處使用權(quán)限?!?/P>

應(yīng)用程序與數(shù)據(jù)庫(kù)之間的關(guān)系不僅極為復(fù)雜,而且非常多變。企業(yè)級(jí)應(yīng)用的動(dòng)態(tài)特性使其難于直接為DAM工具所控制,只有經(jīng)過(guò)嚴(yán)格培訓(xùn)的管理員才能打理好一切、并以自動(dòng)化形式實(shí)施封鎖政策。

“我們?cè)c美國(guó)本土的一家大型銀行開展過(guò)討論,他們表示已經(jīng)開始把技能培訓(xùn)作為企業(yè)的第三大重點(diǎn)目標(biāo)來(lái)處理,而且到目前為止還不知道何時(shí)才能收到成效,”Maman告訴我們。

更多信息請(qǐng)查看IT技術(shù)專欄

更多信息請(qǐng)查看數(shù)據(jù)庫(kù)
易賢網(wǎng)手機(jī)網(wǎng)站地址:數(shù)據(jù)庫(kù)安全五大阻礙
由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考,敬請(qǐng)考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇?zhǔn)!

2025國(guó)考·省考課程試聽報(bào)名

  • 報(bào)班類型
  • 姓名
  • 手機(jī)號(hào)
  • 驗(yàn)證碼
關(guān)于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡(jiǎn)要咨詢 | 簡(jiǎn)要咨詢須知 | 加入群交流 | 手機(jī)站點(diǎn) | 投訴建議
工業(yè)和信息化部備案號(hào):滇ICP備2023014141號(hào)-1 云南省教育廳備案號(hào):云教ICP備0901021 滇公網(wǎng)安備53010202001879號(hào) 人力資源服務(wù)許可證:(云)人服證字(2023)第0102001523號(hào)
云南網(wǎng)警備案專用圖標(biāo)
聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關(guān)注公眾號(hào):hfpxwx
咨詢QQ:526150442(9:00—18:00)版權(quán)所有:易賢網(wǎng)
云南網(wǎng)警報(bào)警專用圖標(biāo)