|
企业面临的数据库风险有增无减
如今的风险环境充斥着各种新旧不同的风险和漏洞。有些最大的风险在过去的几年中并没有什么变化。许多风险仍在肆虐,给敏感信息造成极大的威胁和巨大的破坏成本。其中,数据库的安全风险一直是业界关注的重点。2012年,企业面临的数据库风险将有增无减。
如今的风险环境充斥着各种新旧不同的风险和漏洞。有些最大的风险在过去的几年中并没有什么变化。许多风险仍在肆虐,给敏感信息造成极大的威胁和巨大的破坏成本。其中,数据库的安全风险一直是业界关注的重点。2012年,企业面临的数据库风险将有增无减。 数据库越来越容易遭到攻击有两方面原因:首先,公司被要求越来越多地增加对存储在数据库中数据的访问。增加的数据访问极大地增加了数据被窃取和滥用的风险。要求访问数据的人员包括内部雇员、审计人员、承包商、分包商、供应链的合作伙伴等。其次,数据库的攻击者已经发生了变化。过去,攻击者的目的是为了炫耀其才能,虽然意图并不高尚,但很少造成数据失窃。如今,攻击者的动机往往是经济上的,有时与政治或意识形态有关。攻击者有组织并且死心塌地地寻求可以使其发财的信息,如知识产权、信用卡号、个人身份证号、政府机密等私密信息。 在考虑到这些风险后,企业需要一种可以清除漏洞、定位敏感数据、确认用户访问、监视数据库活动的安全策略,而且能在数据库水平上减轻风险。从历史上看,企业将工作的重点放在外围安全和外部攻击上,投资购买了防火墙、反病毒软件,并确保路由器的配置安全等。虽然这些投资很有必要,但对于阻止针对数据库的直接攻击却收效甚微。如果不阻击这些攻击,就会搞垮公司。调查发现,现代的数据库攻击所造成的单位成本比以往任何攻击都要巨大。而修复数据库损害的花费更是越来越高。在这种环境中,企业必须保护自己免受最高风险的危害,并重视保护数据库免受各种新出现风险的破坏。 下文讨论的是一些需要引起关注的重要安全风险,在制定和实施2012年的数据库防御策略时,必须考虑这些方面。 一、内部人员错误 数据库安全的一个潜在风险就是“非故意的授权用户攻击”和内部人员错误。这种安全事件类型的最常见表现包括:由于不慎而造成意外删除或泄漏,非故意的规避安全策略。在授权用户无意访问敏感数据并错误地修改或删除信息时,就会发生第一种风险。在用户为了备份或“将工作带回家”而作了非授权的备份时,就会发生第二种风险。虽然这并不是一种恶意行为,但很明显,它违反了公司的安全策略,并会造成数据存放到存储设备上,在该设备遭到恶意攻击时,就会导致非故意的安全事件。例如,笔记本电脑就能造成这种风险。 经常进行用户权利的检查可以使审计人员、IT顾问等知道企业的数据所有权、访问控制、对敏感信息的权利等详细信息。这个过程可以使企业确立有效的责任分离制度,更好地满足合规要求。 监视责任的分离变得日益重要。适当的访问权限是一个关键的安全问题,责任分离的控制是合规要求的一个基本原则。 为确保这些无意的违反不会发生,企业应当将关键的保护从网络和Web应用程序层扩展到数据库。常规的数据库安全评估包括审计和渗透测试,而且应当执行错误配置的检查,以尽量减少这些风险。此外,还可以实施活动监视,以保证不会无意下载或传输敏感数据。
责编:孔维维
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
|
|