數(shù)據(jù)庫(kù)存儲(chǔ)著企業(yè)大量的核心數(shù)據(jù)資料����,數(shù)據(jù)庫(kù)的安全對(duì)于企業(yè)來(lái)講是至關(guān)重要的�����,大多數(shù)的企業(yè)通過(guò)各種安全設(shè)備和應(yīng)用程序�,對(duì)企業(yè)數(shù)據(jù)庫(kù)做安全防護(hù)。
但是����,圍繞這些集中存儲(chǔ)的控制有多強(qiáng)大呢?毫無(wú)疑問(wèn),信息存儲(chǔ)在安全的集中式數(shù)據(jù)庫(kù)比在筆記本電腦和文件共享中更為安全�����。
但是����,如果企業(yè)沒(méi)有確保數(shù)據(jù)庫(kù)安全性����,他們可能會(huì)不知不覺(jué)地在為攻擊者建立敏感信息寶庫(kù)。
很多企業(yè)數(shù)據(jù)庫(kù)很容易由于配置錯(cuò)誤或部署不當(dāng)而導(dǎo)致漏洞��。
從低密碼強(qiáng)度到SQL注入攻擊再到跨站點(diǎn)腳本漏洞����,企業(yè)必須解決這些與數(shù)據(jù)庫(kù)相關(guān)的威脅。
除這些漏洞外���,每個(gè)企業(yè)還應(yīng)遵循并定期審視數(shù)據(jù)庫(kù)安全優(yōu)秀做法�,以維護(hù)其寶貴財(cái)產(chǎn)的安全性:數(shù)據(jù)庫(kù)中存儲(chǔ)的機(jī)密數(shù)據(jù)����。
對(duì)于任何攻擊者來(lái)說(shuō)���,這都是誘人的目標(biāo)。
因此���,確保數(shù)據(jù)的安全至關(guān)重要����。
企業(yè)應(yīng)遵循以下四項(xiàng)優(yōu)秀做法�����,以提高其數(shù)據(jù)庫(kù)及其中存儲(chǔ)數(shù)據(jù)的安全性��。
1. 最小權(quán)限原則通常情況下���,在任何網(wǎng)絡(luò)安全書(shū)籍中�����,第一章都會(huì)介紹最小權(quán)限原則�����,即確保僅為用戶提供完成其工作所需的最小權(quán)限��。
這個(gè)理論目標(biāo)與企業(yè)數(shù)據(jù)庫(kù)的現(xiàn)實(shí)情況之間的差距是很重要的問(wèn)題��。
為了對(duì)此進(jìn)行評(píng)估��,企業(yè)應(yīng)該問(wèn)自己幾個(gè)問(wèn)題�,其中包括:開(kāi)發(fā)人員是否擁有對(duì)生產(chǎn)數(shù)據(jù)庫(kù)的完全訪問(wèn)權(quán)限?系統(tǒng)工程師是否可以訪問(wèn)他們所管理系統(tǒng)中的數(shù)據(jù)庫(kù)?數(shù)據(jù)庫(kù)管理員是否具有對(duì)所有數(shù)據(jù)庫(kù)的完全訪問(wèn)權(quán)限?還是僅對(duì)其職責(zé)范圍的數(shù)據(jù)庫(kù)具有訪問(wèn)權(quán)限?盡可能限制訪問(wèn)權(quán)限是防范內(nèi)部威脅的重要方法。
2. 定期審核訪問(wèn)權(quán)限大家都知道�����,特權(quán)提升實(shí)際上會(huì)影響每個(gè)技術(shù)企業(yè)��。
隨著技術(shù)人員和非技術(shù)人員在工作角色和項(xiàng)目分配之間轉(zhuǎn)換����,每次職責(zé)更改時(shí)���,他們都會(huì)積累新的權(quán)限�����。
由于缺少權(quán)限會(huì)阻礙工作�,因此他們會(huì)迅速尋求并批準(zhǔn)新的權(quán)限。
但是�,舊的和不必要的權(quán)限可能會(huì)持續(xù)數(shù)月或數(shù)年,因?yàn)檫@不會(huì)對(duì)員工的日常工作造成操作問(wèn)題�����。
但其實(shí)這會(huì)帶來(lái)嚴(yán)重影響���,如果用戶變成惡意內(nèi)部人員或淪為賬戶被盜的受害者���,這些權(quán)限會(huì)幫助攻擊者擴(kuò)大攻擊范圍。
企業(yè)應(yīng)定期對(duì)數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限進(jìn)行定期審查����,以確保執(zhí)行最小特權(quán)原則。
請(qǐng)?zhí)貏e注意直接訪問(wèn)數(shù)據(jù)庫(kù)的用戶�����,因?yàn)檫@種訪問(wèn)可能會(huì)繞過(guò)應(yīng)用程序級(jí)安全控制�����。
3. 監(jiān)控?cái)?shù)據(jù)庫(kù)活動(dòng)數(shù)據(jù)庫(kù)審核曾經(jīng)會(huì)帶來(lái)巨大的性能負(fù)擔(dān),這導(dǎo)致企業(yè)為了運(yùn)營(yíng)效率而犧牲日志記錄��。
幸運(yùn)的是��,那些日子已經(jīng)過(guò)去了�,因?yàn)楝F(xiàn)在所有主要的數(shù)據(jù)庫(kù)平臺(tái)提供商都提供可擴(kuò)展的監(jiān)視和日志記錄功能。
企業(yè)應(yīng)確保已在其系統(tǒng)上啟用數(shù)據(jù)庫(kù)監(jiān)視���,并將日志發(fā)送到安全的存儲(chǔ)庫(kù)����。
另外�,請(qǐng)確保實(shí)施基于行為的監(jiān)視規(guī)則,以監(jiān)視異常的用戶活動(dòng)����,特別是具有管理訪問(wèn)權(quán)限的用戶。
4. 加密敏感數(shù)據(jù)加密無(wú)疑是數(shù)據(jù)庫(kù)安全最佳做法�。
企業(yè)應(yīng)遵循以下三種方式利用強(qiáng)加密來(lái)保護(hù)其數(shù)據(jù)庫(kù):要求所有數(shù)據(jù)庫(kù)使用傳輸層安全加密來(lái)保護(hù)傳輸中的數(shù)據(jù);加密包含數(shù)據(jù)存儲(chǔ)的磁盤(pán)�����,以防止其丟失���、被盜或處理不當(dāng);用列級(jí)加密功能來(lái)保護(hù)你最敏感的數(shù)據(jù)以防被監(jiān)聽(tīng)現(xiàn)在企業(yè)應(yīng)該加強(qiáng)其數(shù)據(jù)庫(kù)安全做法����。
為了更好地抵御現(xiàn)代復(fù)雜威脅,企業(yè)應(yīng)該遵循上述數(shù)據(jù)庫(kù)安全優(yōu)秀做法:執(zhí)行最小權(quán)限原則�����、定期審查賬戶訪問(wèn)權(quán)限��、監(jiān)控?cái)?shù)據(jù)庫(kù)活動(dòng)和加密敏感數(shù)據(jù)����。
通過(guò)上述的方法,加強(qiáng)企業(yè)數(shù)據(jù)庫(kù)數(shù)據(jù)的安全防護(hù)�,把安全隱患降到最低,防止數(shù)據(jù)庫(kù)數(shù)據(jù)泄密事件的發(fā)生����。
