数据库管理员们的七个安全好习惯

无论数据库管理员、信息安全专业人士还是同时身兼两种角色，负责维护企业数据库当中所保存信息的技术团队必须建立良好的安全习惯、从而实现份内的保护目标。这些实践立足于坚实的数据安全规划，但根据本周由独立甲骨文用户团队（简称IOUG）发布的《2013年企业数据安全调查》显示，对于大部分企业来说制定这一规划本身已经是个不易实现的任务。
    今年的IOUG数据安全调查特别关注了数据库安全形势，并以2013年业界领先与落后企业的实际处理方式为基础、详尽分析了他们在数据库安全领域的表现。这份调查报告所提到的“领先企业”是指那些切实完成了三项基准保护措施（在今天的文章中都将提到）的公司，即：数据库内容敏感性或者受限识别、数据静态或者动态加密以及监控生产数据库的非授权访问或者修改等。相比之下，落后企业是指那些在以上几个方面表现欠佳的公司。根据调查结果来看，约有22%的受访方被归结为领导企业、约有20%属于落后企业，其它则占据中游位置。

不出意外，各领导企业在报告中称他们遭遇数据泄露事故的机率仅为落后企业的三分之一。探讨这些机构在日常数据库安全实践中的处理方案能为我们提供宝贵的教训，从而指导大家在数据库安全保障规程中取得更理想的效果。
   1. 他们了解敏感数据身在何处
    除非一家企业清楚地掌握着内部敏感数据的所在位置，否则他们很难有针对性地围绕这些信息开展保护及控制工作。根据IOUG的调查，目前约有七成企业表示他们明确了解哪些数据库当中包含有敏感或者受管信息。这一结果与三年前相比出现了显著改善。回想2010年，只有一半多一点的受访企业能够自信地作出这样的回应。这一点不仅对于设置控制机制意义重大，同时也会在控制手段部署完成后确保企业自身以更为主动的姿态发现泄露事故--而不会傻傻等着外部组织发现并提醒此类事故的发生。
    “大多数遭遇数据泄露事故的企业自身对此都毫不知情，坏消息往往是由第三方传达过来的，”甲骨文公司数据库安全产品管理主管Roxana Bradescu指出。“很显然，没人希望自己的数据泄露问题是由新闻媒体或者第三方发现并通知给自己的。在这类控制机制的辅助下，我们至少能够发现自身是否遭遇了数据泄露问题--这本身就是一种巨大的数据安全进步。”
   2.他们频繁组织审计工作
    企业正越来越多地就针对数据库的访问方式进行审计，但审计工作的频率仍然有待提高。回想2010年，能够每月至少进行一次数据安全审计的企业仅占受访总数的15%，时至今日这一比例已经上升为23%。
    在这方面，先进企业取得了大大超过落后企业的显著优势，有33%的先进企业声称会以一个月甚至更短时间为审计周期，而只有8%的落后企业能达到同样的频率。
    Unisphere研究公司研究分析师Joseph McKendrick是IOUG调查的负责人，他提醒称实际上审计本身也很可能只是面子工程。
    举例来说，一位匿名受访者曾在调查过程中告诉他，“我们确实会对高权限用户的访问情况进行审计，但并不针对他们的具体操作内容。换言之，我们能够准确把握谁在什么时候访问过数据库，但在大多数情况下却不知道他们到底干了些什么。在这方面，我们还需要实施额外的审计规程。”
   3.他们监控数据库活动与系统变更
    审计在安全工作中非常重要，但连续监控在察觉潜在问题、预防灾难性数据泄露方面的表现则更为出色。遗憾的是，只有极少数企业手中掌握着进行各类未授权活动检测所必需的实践方案以及技术。根据调查显示，只有37%的受访企业有能力在二十四小时以内检测出未经授权的数据库访问或者变更。“缺乏相关保护措施及技能的企业数量非常庞大，”Bradescu指出。“我们希望供应商能在数据库当中内置安全策略，我们也希望能够监控所有指向数据库的活动。”
    尽管在高权限用户活动、失败登录信息以及签到等活动当中推行监控机制的企业数量目前已经超过一半，但其它方面的针对性监控仍然不够普遍。举例来说，只有37%的企业会持续追踪指向敏感表或者列的写入活动，而且只有31%的企业会持续追踪指向敏感表或者列的读取活动。
   4. 他们通过加密防止数据库内容泄露
    即使一套数据库已经拥有最为先进的控制与监控机制，没有坚实的加密方案作为依托，所有投入仍然有可能化为泡影。问题在于，缺乏伪装或者加密的数据内容，攻击者很可能彻底绕过数据库平台本身、通过数据库所使用的数据存储文件获取其中保存的信息，Bradescu提醒道。
    “因此，除非我们将数据加密机制落实到位，否则我们无法避免攻击者绕开数据库的迂回式攻击活动，"她解释道。"数据加密可以说是数据库安全的真正基础，因为大家只有以此为前提才能在数据库当中实现有效的安全控制效果。”
    根据IOUG调查报告显示，数据库加密工作在过去五年来获得了稳定的发展与进步。在2008年，只有57%的企业表示已经在部分或者全部数据库当中采用了加密机制，而时至今日这一比例已经上升至70%。
   5.他们通过控制措施防止应用程序旁支攻击
    与上一条类似，在数据库安全保护方面拥有丰富经验的企业也懂得确保访问来源单纯性的重要意义，即只允许利用相关接入应用访问保存在数据库中的信息。
    “我们希望确保自己的数据库不会受到他人访问，除非对方经由相关应用程序，”Bradescu表示。
    根据IOUG调查报告，先进企业与落后企业在这一领域的表现相差10%。只有28%的先进企业允许用户直接利用临时工具或者电子表格访问来自数据库的数据，但落后企业中允许这种方式的比例则达到38%。
   6.他们管理高权限用户的访问流程
    超级用户账户拥有开启数据库这座财富王国大门的钥匙，因此需要经过严格管理以确保数据库内容不受侵扰。所谓超级用户账户不仅包括由数据库管理员所使用的管理账户，同时也涵盖那些被赋予高度数据库权限、旨在简化开发者在编程时与数据库对接的应用程序账户。
    “越来越多的企业开始监控自己的数据资产并采取措施对超级用户加以标注，”McKendrick写道。“不过大多数企业仍然无法切实监控高权限用户的全部在线活动。”
    在这方面领导企业与落后企业之间形成了鲜明的差距。约有一半的领先企业报告称自身已经制定措施、旨在防止拥有高权限的用户篡改敏感信息；相比之下，只有22%的落后企业能够做到这一点。在所有企业当中，制定特权用户控制机制的企业占34%，这一比例与2010年相比高出约10%--当时只有不足分四之一的企业具备此类防范意识。
   7. 他们只在生产数据库内处理生产数据
    在分级品质保障以及开发等领域中，草率地传播生产数据长久以来一直成为数据库安全规划的致命软肋。强大的数据库安全规划要求生产数据必须始终驻留在配备全面控制机制的数据库环境下，而不应接触其它缺乏同样安全保障的普通环境当中。
    根据IOUG调查报告显示，约有半数受访企业仍然会在数据中心之外使用实时生产数据。
    “除此之外，尽管数据安全意识在最近几年有所增强，但自2008年首次引入调查报告以来、实时数据流出业务环境的情况仍然时有发生，”McKendrick指出。