中小企業的資料庫安全需要注意的地方
隨著日益複雜的攻擊和不斷上升的內部資料盜竊,資料庫安全成為中小企業資訊保安團隊重點關注的焦點,超越了傳統的認證、授權和訪問控制。
一個私人資料入侵,如信用卡號或財務資料,可以給機構造成巨大的損失,更不用說訴訟和違規罰款等可能會帶來的持久影響。中小企業需要重新制定資料庫安全策略,在新安全特性的應用和功能上尋找差距,這有助於幫助資料庫應對新的威脅。
制定一個成功的資料庫安全策略的關鍵在於你要了解為什麼要保護資料庫,保護哪個資料庫,以及如何最好的保護資料以應對所有型別的威脅。建議企業按照以下三點來建立完整的資料庫安全策略:
一、建立一個集身份驗證、授權、訪問控制、發現、分類,以及補丁管理於一體的堅實基礎。
瞭解哪些資料庫包含敏感資料是資料庫安全戰略的基本要求。企業應對所有的資料庫採取一個全面的庫存管理,包括生產和非生產的,並且遵循相同的安全政策給它們劃分類別。所有的資料庫,尤其是那些存有私人資料的資料庫,應該有強的認證、授權和訪問控制,即使應用層已經完成了認證和授權。缺乏這些堅實基礎會削弱審計、監察和加密等其他的安全措施。
此外,如果不能每季度給所有的關鍵資料庫打補丁,那麼至少半年一次,以消除已知的漏洞。使用滾動補丁或從資料庫管理系統DBMS的供應商和其他廠商那裡收集資訊,以儘量減少應用補丁的停機時間。始終在測試環境下測試安全補丁,定期執行測試指令碼,以確保修補程式不影響應用程式的功能或效能。
二、使用具有資料遮蔽、加密和變更管理等功能的預防措施
在建立了一個堅實和基本的資料庫安全策略後,就應該開始採取預防措施,以保護重要的資料庫。這樣就為生產和非生產資料庫提供了一個保護層。資料隱私不隨著生產系統而停止,它也需要擴充套件到非生產環境,包括測試、開發、質量保證QA、分階段和訓練,基本上所有的私有資料都可以駐留。資料庫安全專業人士應該評估在測試環境中或外包應用開發中用資料遮蔽和測試資料生成來保護私有資料的效果。
使用網路加密以防止資料暴露給在監聽網路流量或資料靜止加密的窺視者他們關注儲存在資料庫中的資料。當資料針對不同的威脅,這些加密方法可以實現相互獨立。通常情況下,也不會對應用程式的功能有影響。
保護關鍵資料庫的結構要按照標準化的變更管理程式來進行。在過去,對生產環境中的計劃或其它資料庫進行變更時需要關閉資料庫,但新版本的資料庫管理系統允許在聯機時進行這些更改,這就帶來了新的安全風險。一個標準化的變更管理程式能確保只有管理員在得到管理部門批准後才能改變生產資料庫並且跟蹤所有資料庫的變更。機構還應該更新自己的備份和可行性計劃,以處理資料或元資料因這些變更而發生的改變。
三、建立具有審計、監測和漏洞評估功能的資料庫入侵檢測系統
當重要資料發生意外變化或者檢測到可疑資料時,有必要進行一個快速的調查來檢視發生了什麼事情。資料庫裡的資料和元資料可以被訪問、更改甚至是刪除,而且這些都可以在幾秒鐘的時間內完成。通過資料庫審計,我們能夠發現“是誰改變了資料”和“這些資料是什麼時候被改變的”等問題。為了支援之前提到的管理條例標準,安全和風險管理的專業人士應該追蹤私人資料的所有訪問途徑和變化情況,這些私人資料包括:信用卡卡號、社會安全卡卡號以及重要的資料庫的名稱和地址等資訊。如果私人資料在沒有授權的情況下被更改或者被訪問,機構應該追究負責人的責任。最後,可以使用漏洞評估報告來確定資料庫的安全空白地帶,諸如弱效密碼、過多的優先訪問權、增加資料庫管理員以及安全群組監測。
此外,要牢記安全政策、安全標準、角色分離和可用性
資料庫安全策略不僅關注審計和監測,它也是一個端到端的過程,致力於減少風險、達到管理條例的要求以及防禦來自內部和外部的各種攻擊。資料庫安全需要把注意力更多地放在填補安全空白、與其他安全政策協作以及使安全方式正式化上。在草擬你的安全策略時,要使你的資料庫安全政策與資訊保安政策一致;要注意行業安全標準;要強調角色分離;要清楚描述出資料恢復和資料使用的步驟。
企業網路被攻破應採取的措施