·ChinaUnix首页 ·论坛 ·博客 
Linux首页 | Linux新闻 | Linux论坛 | Linux文档 | Linux下载 | Linux博客 | Linux搜索 | 开源项目孵化平台 | 《开源时代》
新手入门 | 安装启动 | 管理员指南 | 开发手册 | 桌面应用 | 程序开发 | 数据库 | 网络技术| CentOS | Fedora | MySQL | Apache | Ubuntu | Gentoo| OSCON08
  Linux时代 >> 技术文档 >> 数据库
 
企业数据库安全失效的五大原因
来源: Linux论坛  日期: 2012.03.15 17:05 (共有条评论) 我要评论
 

企业数据库安全失效的五大原因








[注]本文转载自:http://www.**.cn/security-websec ... 110407_220964.shtml


虽然数据库安全最佳做法已经讨论了几年,并且现有的数据库安全工具也已经成熟,但现在企业仍然无法确保最机密数据的存储安全。近日独立Oracle用户集团发布的数据安全调查结果就揭露了企业最常见的数据库安全错误。从这些结果来看,很明显,现在大多数企业都是凭感觉在运行数据库安全。绝大多数企业根本没有监控他们的数据库,或者说以特设的方式来监控。更令人不安的是,大多数企业甚至不知道他们的重要数据的位置,很多管理员在调查中承认他们并不能肯定数据库中包含着重要信息。

从调查结果中,我们已经确定了泄漏事故发生率居高不下的最主要原因,除非企业对这些做法进行适当控制,否则数据泄漏事故还将继续制造新闻。

1. 企业仍然不知道重要数据的位置

在企业可以保护他们的重要数据之前,他们必须知道重要数据的位置。不幸的是,在当今快节奏的IT环境,很多管理员发现很难在众多数据库中追踪重要信息。

事实上,他们只是不知道哪些数据库包含或者不包含诸如个人身份信息等数据。调查发现,48%的受访者承认他们不清楚企业中哪些数据库包含机密信息。

部分原因在于现在企业运行着大量的数据库。大约35%的企业运行11到100个数据库,将近40%的企业运行超过100个数据库,而13%的企业运行1000多个数据库。

更复杂的问题是,非常多的重要信息位于生产数据库外部。大约有37%的企业承认他们在非生产数据库使用生产数据,在这些受访者中,39%表示这些数据包含个人身份信息或者他们并不确定是否包含。

2. 安全监控力度不足

有这么多的数据库需要追踪,如果企业真的想清楚知道哪些人访问了重要数据,他们必须明确如何监测这些数据的活动。然而,只有四分之一的企业部署了自动化工具来定期监测数据库行为,这个数据自IOUG从2008年开始访问数据库管理员以来就大致保持不变。

IOUG还发现,虽然72%的企业表示至少在一些数据库上使用本地审计工具,很少的管理员会真正查看这些工具生成的数据。大约有11%的企业表示他们会定期手动监测数据库。

25%的企业表示他们没有办法确定数据库是否发生了未经授权更改。只有30%的企业表示他们能够在大多数数据库中检查出这种更改。约有46%的受访者表示他们只能够检测中某些数据库中的未经授权更改。

然而,在那些可以发现未经授权更改的受访者中,响应时间都很慢。只有12%的受访者表示他们能够在一个小时内检测出未经授权更改,而约有33%的受访者表示他们最多一天内可以察觉。大约16%的受访者表示需要一天或者更长事件,40%表示他们不确定什么时候能够察觉未经授权更改。

3. 特权用户运行不受制止

IOUG调查的一名受访者表示,“我们最大的风险可能是员工肆意运行,我们可以很快察觉,但是可能还是无法避免严重损害。”

这是很多管理员共同的心声,约有22%受访者将内部攻击者列为他们最大的数据库安全风险,而另外12%受访者表示滥用特权是最大的威胁。

尽管大家都知道这个威胁,但是却很少有企业采取行动来减轻这些风险。高达四分之三的企业并有或者不确定他们是否有办法制止特权用户滥用或者攻击数据库信息。只有23%的企业有办法阻止特权用户的意外更高。四分之一的企业,即使是普通用户都可以绕过应用程序获取对重要数据的直接访问。

也许更令人担心的是,面对未经授权访问和恶意篡改数据,很多公司无法保护审计数据。大约有57%的受访者并没有将数据库审计数据放到中央安全位置,从而使特权用户可以在未经授权访问或者篡改信息后更改审计数据来掩藏他们的踪迹。

4. 数据库补丁修复缓慢

现在很多数据泄漏事故都出自利用数据库和web应用程序漏洞攻入重要数据存储位置的黑客之手。根据最新Verizon2010数据泄漏调查报告显示,去年的数据泄漏事故中有90%涉及SQL注入攻击。

虽然企业完全可以通过保持更新数据库和以安全的方式配置来避免这些攻击,但是他们根本没有抓住这个机会来减轻风险。IOUG调查发现63%的管理员承认他们的关键补丁更新至少有一个周期时间的延误。最令人关注的是,17%的管理员表示他们从来没有修复补丁或者并不确定是否修复了补丁。

5. 加密不足

虽然HIPAA和PCL DSS等法规要求企业加密或者确定数据库内的个人身份信息,但企业内对个人身份信息的数据库加密仍然远远不够。少于三分之一的管理员表示,他们会对所有数据库内的个人身份信息进行加密,而38%则表示,他们没有加密个人身份信息或者不确定是否加密。对进出数据库的网络流量的加密也是同样如此,大约23%的企业表示他们加密所有流量,而35%承认他们没有加密流量或者不确定是否加密。

数据库加密真正的致命弱点就是数据库备份和数据库副本如何被发送到公司外合作伙伴的方式。不到一半的企业可以明确的表示,他们没有发送未加密数据库信息到公司外部。只有16%的企业表示他们对所有数据库备份和数据库副本进行了加密。

  发表评论 查看评论(共有条评论)
 
 


最新资讯更多>> 
· 谷歌劝说诺基亚采用Android操作..
· Apache 基金会确认退出 JCP 执..
· Chrome 10 新功能探秘:新增GP..
· 金山宣布开源其安全软件
· 女黑客在开源会议上抱受骚扰
· 21款值得关注的Linux游戏
· 马化腾:腾讯半年后彻底转型,..
· [多图] Chrome OS 预发布版本多..
· Lubuntu 11.04 默认应用抢先一览
· Red Hat宣布收购云计算软件提供..
论坛热点更多>> 
· do_execve时候用户栈中参数的..
· swapinfo -atm 问题
· Linux 的优点简述
· VM虚拟机上得Red Hat Linux上..
· 我看成了上海男人喜欢女人毛..
· 校车展览,看了你就知道
· 在遇到他之前,唯一需要做的..
· GRUB的疑问
· 从来没有人真正付足书价——..
· 云存储 vs 网盘
文档更新更多>> 
· orcale queue
· 谁可以推荐几本经典的操作系统的..
· 【北京】某物联网公司招云计算应..
· 【北京】某物联网公司招云计算应..
· 谁能推荐几本关于操作系统的书
· 如何添加网络接口eth1
· 葡萄牙语入门教材的选取与经验分享
· 葡萄牙语就业前景分析
· 葡萄牙语学习经验交流
· Щ
 
关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 友情链接 | 免费注册

Copyright © 2001-2009 ChinaUnix.net All Rights Reserved

感谢所有关心和支持过ChinaUnix的朋友们

京ICP证:060528号