大家都很清楚对于企业和政府而言,其数据库所保存的数据非常重要,但让人不解的是,这些数据库安全却总有种被莫名忽视的感觉,至少对于那些涉嫌数据被窃和泄漏而若上官司的企业而言的确如此。
这么说并不是有意要对企业挑选数据库管理员挑刺而得罪整个IT行业,不过数据库库管理员和安全管 理员确实需要进行更进一步的沟通,以便能够改善对这些重要资源的安全问题,而不会对数据库的性能产生影响。一个常见的约束就是由于相关的性能损耗太高而使数据库管理员无法落实安全机制。本文的初衷并不是为了探讨数据库安全的多种内在机制,也不是为了讨论这些机制的优劣。本文的目的是对如何在保护信息安全的同时转移数据库管理员保护数据库安全的重担,并且做到不过分影响数据库兄性能 提出一些建议。
在过去的几年里,数据库安全的问题已经被卷入了信息安全问题的主流了,部分原因是资深的安全研究人员越来越多的把研究重点放在了数据库安全问题上。他们的研究工作使包括一些著名的数据库产品的一系列漏洞暴露在阳光底下,从数据库软件设计上的缺陷到传统的缓冲区溢出。而且,他们的研究成果认为一般而言,数据库供应商并不像操作系统供应商那样勤于发放补丁。
技术虽然并不是万能药,但却是拯救数据库安全的良药。例如,像Guardium和Secerno这样的公司都有提供数据库防火墙,基于对基础数据库通讯全面认识而实现对进出数据库的信息流的控制。
这些工具对传递到后端数据库的SQL语句了如指掌,并能够拒绝那些被认为是危险的SQL语句的运行。如果你对于采用一项相对不够成熟的技术指定访问决策,以便能够阻止对关键任务系统所依赖的信息的 不良访问感到有点不安,那么你可以在检测模式下使用这些工具,直到你积累了足够信任度为止。完全在数据库管理员控制范围之外的数据库审计跟踪本身可能成为目标。实施更高度的职能分离比依赖数据 库内在的审计功能要强的多。
此外,还有很多工具可以用来执行数据库的自动安全审计。他们能适用于一般的数据库,并能够提供详尽的安全漏洞报告,同时会提出补救行动建议。
除了使用安全工具外,还要制定并执行一些安全准则,包括强化数据库和主机,对数据库管理员进行适当的审查,有效的用户管理和定期打补丁等。本文所讨论的工具能够通过一些简单的数据库安全措施 帮助减少你最宝贵的资产——数据库资料失窃的风险。
