數(shù)據(jù)庫(kù)安全技術(shù)在企業(yè)環(huán)境下的表現(xiàn)總是不夠理想���,而在眾多影響效果的因素之中�����,復(fù)雜性始終是引發(fā)問(wèn)題的關(guān)鍵��。
盡管目前針對(duì)敏感數(shù)據(jù)庫(kù)保護(hù)推出的產(chǎn)品已經(jīng)相當(dāng)成熟、大多數(shù)管理者也擁有一定執(zhí)行經(jīng)驗(yàn)���,但不少企業(yè)在運(yùn)用綜合性數(shù)據(jù)庫(kù)安全技術(shù)與流程來(lái)保護(hù)關(guān)鍵性數(shù)據(jù)庫(kù)方面仍然有很長(zhǎng)的路要走——更不用說(shuō)企業(yè)數(shù)據(jù)庫(kù)了。雖然合規(guī)性委托正逐步推動(dòng)數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控(簡(jiǎn)稱DAM)工具在企業(yè)層面的普及�,但技術(shù)本身在企業(yè)玩意中的成長(zhǎng)仍然受到兩大因素的重重制約�����,這就是成本與復(fù)雜性��。
“在企業(yè)中實(shí)施安全技術(shù)需要面臨重重困難的原因之一在于成本模式����,”Securosis公司分析師兼CTO Adrian Lane指出?����!昂芏鄷r(shí)候要想在企業(yè)中全面推廣安全方案要求管理者投入巨額資金����,但與之形成鮮明對(duì)比的是�,方案供應(yīng)商往往將情況描述得很美好����、讓人誤以為花不了多少錢就能搞定一切�。”
根據(jù)Lane的說(shuō)法���,來(lái)自數(shù)家金融機(jī)構(gòu)的報(bào)告顯示DAM技術(shù)的最終推廣開(kāi)支比最初預(yù)算高出兩到三倍��。
根據(jù)多位安全專家的意見(jiàn)����,如今的數(shù)據(jù)庫(kù)安全技術(shù)確實(shí)有些太過(guò)復(fù)雜以至于很難打理����。GreenSQL日前對(duì)超過(guò)1300位IT專業(yè)人士開(kāi)展了調(diào)查����,希望了解他們?cè)谔幚頂?shù)據(jù)庫(kù)安全問(wèn)題時(shí)所面臨的最大阻礙���。有31%的受訪者將矛頭指向復(fù)雜性,這也使其順利成為數(shù)據(jù)庫(kù)安全阻礙中的罪魁禍?zhǔn)住?/P>
那么數(shù)據(jù)庫(kù)安全機(jī)制的部署工作到底為什么既昂貴且復(fù)雜?下面我們一起來(lái)看影響最大的五個(gè)因素:
1. 規(guī)模當(dāng)一家小型或中型企業(yè)只需要處理幾十或至多幾百臺(tái)數(shù)據(jù)庫(kù)服務(wù)器的保護(hù)工作時(shí)���,也許我們還有辦法應(yīng)付下來(lái),GreenSQL公司聯(lián)合創(chuàng)始人兼CTO David Maman指出���。但企業(yè)中的數(shù)據(jù)庫(kù)基礎(chǔ)設(shè)施如雨后春筍般迅速涌現(xiàn)并形成規(guī)模�����,那么保護(hù)工作就變得極為困難�����、單靠人力操控幾乎無(wú)法實(shí)現(xiàn)�。
“走訪全球財(cái)富五百?gòu)?qiáng)企業(yè)����,我們會(huì)發(fā)現(xiàn)其中約有四成擁有超過(guò)一萬(wàn)臺(tái)數(shù)據(jù)庫(kù)服務(wù)器,”Mamann表示��?��!霸谌绱她嫶蟮囊?guī)模之上,僅僅對(duì)其中五分之一數(shù)據(jù)庫(kù)進(jìn)行活動(dòng)監(jiān)控就能輕易花掉企業(yè)數(shù)百萬(wàn)美元預(yù)算�。”
2.合規(guī)性部署不當(dāng)
大多數(shù)DAM技術(shù)的早期買家都希望能憑借現(xiàn)成方案快速搞定自身SOX合規(guī)性問(wèn)題。即使是在合規(guī)性仍然作為安全方案銷售主導(dǎo)的今天��,我們?nèi)匀幻媾R著嚴(yán)峻現(xiàn)實(shí)——跨數(shù)據(jù)庫(kù)合規(guī)性部署不當(dāng)情況普遍存在���,這直接導(dǎo)致安全方案的功能性受到制約��、管理員只能分別或同時(shí)使用其中的一小部分功能。
很多時(shí)候購(gòu)買了超過(guò)需要的DAM方案或是沒(méi)有按預(yù)期方式使用這項(xiàng)技術(shù)——這基本上已經(jīng)成為一種常態(tài)����。
“有趣的是,我最近看到很多使用DAM技術(shù)的用戶沒(méi)有進(jìn)行登錄檢測(cè),而這恰恰是我們購(gòu)買這類工具的主要目的����,”Lane解釋道�。“這樣的部署模式太糟糕了��,因?yàn)槿绻麙侀_(kāi)登錄檢測(cè),我們還有很多更便宜的方案來(lái)實(shí)現(xiàn)其它功能訴求。”
3. SIEM與DAM未能默契配合
根據(jù)Lane的觀點(diǎn),很多企業(yè)在安全機(jī)制身上花了大量時(shí)間��、聘請(qǐng)多位專家并投入海量資源�����,希望打造出全能型安全信息及事件管理(簡(jiǎn)稱SIEM)平臺(tái)����。但其中最大的問(wèn)題在于:除了少數(shù)特例����,大部分用戶都沒(méi)能讓DAM與SIEM展開(kāi)默契配合。
“許多企業(yè)選擇對(duì)SIEM進(jìn)行投資并將其視為安全工具的主體方案,換言之業(yè)務(wù)環(huán)境下的所有狀況都應(yīng)被正確反饋到SIEM當(dāng)中,”Lane表示�����?���!暗拐\(chéng)地講�,DAM與SIEM很難并行不悖�,除非技術(shù)人員能把二者的功能加以全面整合?��!?/P>
4.性能至上�����、忽視安全
通過(guò)觀察,Maman發(fā)現(xiàn)即使是在已經(jīng)具備某種監(jiān)控技術(shù)的企業(yè)中���,IT團(tuán)隊(duì)仍然不敢利用封鎖機(jī)制預(yù)言濫用狀況的發(fā)生�。
“就算是出于安全性考量���,他們還是不能承擔(dān)某些敏感信息或必要數(shù)據(jù)無(wú)法被系統(tǒng)調(diào)用的風(fēng)險(xiǎn),”他補(bǔ)充道���。
事實(shí)上�����,“數(shù)據(jù)庫(kù)管理員既了解又忽視”著數(shù)據(jù)庫(kù)安全問(wèn)題�,Lane解釋道��。他們通常會(huì)把數(shù)據(jù)安全作為數(shù)據(jù)庫(kù)管理工作中的一項(xiàng)重點(diǎn)——他們甚至愿意在內(nèi)核層面使用代理���。然而在管理人員的思維中,安全的重要性永遠(yuǎn)要低于性能表現(xiàn)�,他指出。而一旦管理工作或政策制定方面出現(xiàn)兩難選擇�,他們必然會(huì)首先放棄安全訴求。
“數(shù)據(jù)庫(kù)管理員并不是安全專家�����,他們不清楚合理威脅是什么����、也不知道該如何制定政策加以解決,”他表示���?��!耙虼怂麄儠?huì)把希望寄托在工具上,并努力適應(yīng)其中一切不合理之處�����?����!?/P>
數(shù)據(jù)庫(kù)的復(fù)雜性則起到了推波助瀾的作用�����,它在專注于性能的數(shù)據(jù)庫(kù)管理員與努力規(guī)避風(fēng)險(xiǎn)的安全專家之間構(gòu)建起一道鴻溝�����,前者不懂安全���、后者不了解數(shù)據(jù)庫(kù)運(yùn)行原理�。也正是出于這個(gè)原因,GreenSQL的調(diào)查中才有五分之一的受訪者認(rèn)為數(shù)據(jù)庫(kù)安全課題對(duì)技能��、溝通等專業(yè)水平的要求是解決一切的最大阻礙�����。缺乏這樣的專業(yè)知識(shí)��,我們很可能制定出危險(xiǎn)的配置規(guī)劃���、進(jìn)而令安全主動(dòng)權(quán)徹底丟失���。
“數(shù)據(jù)庫(kù)往往非常復(fù)雜,所以保證數(shù)據(jù)庫(kù)管理員理解各類配置方案給安全性帶來(lái)的潛在影響就顯得非常重要���,”Stonesoft公司技術(shù)部門副總裁Phil Lerner告訴我們��?�!爱?dāng)管理員專注于可用性時(shí)��,他們往往也同時(shí)忽視了可能引發(fā)安全漏洞并造成機(jī)密數(shù)據(jù)外泄的配置問(wèn)題�����。應(yīng)用程序及其訪問(wèn)與加密處理同樣會(huì)給后端數(shù)據(jù)庫(kù)帶來(lái)重大安全風(fēng)險(xiǎn)���。”
5.應(yīng)用程序復(fù)雜性
數(shù)據(jù)庫(kù)安全課題中的另一大重大挑戰(zhàn)在于�����,這些數(shù)據(jù)只有在與動(dòng)態(tài)應(yīng)用環(huán)境連接的前提下才能正常發(fā)揮作用——而最嚴(yán)重的安全事故往往與這些連接機(jī)制密不可分����。下面我們就以SAP應(yīng)用為例。
“SAP應(yīng)用以一種極為復(fù)雜的方式管理著數(shù)據(jù)庫(kù)架構(gòu)���,”Maman指出�?����!八鼤?huì)根據(jù)數(shù)百套不同數(shù)據(jù)庫(kù)的運(yùn)行狀況生成超過(guò)一千套表格�,并分別為其創(chuàng)建難以理解的表格標(biāo)題。當(dāng)我們鉆研數(shù)據(jù)庫(kù)內(nèi)容時(shí)�,必須得拿出大把大把的時(shí)間來(lái)嘗試弄懂自己能在哪個(gè)源應(yīng)用中的哪個(gè)表格處使用權(quán)限����?!?/P>
應(yīng)用程序與數(shù)據(jù)庫(kù)之間的關(guān)系不僅極為復(fù)雜,而且非常多變�。企業(yè)級(jí)應(yīng)用的動(dòng)態(tài)特性使其難于直接為DAM工具所控制,只有經(jīng)過(guò)嚴(yán)格培訓(xùn)的管理員才能打理好一切����、并以自動(dòng)化形式實(shí)施封鎖政策。
“我們?cè)c美國(guó)本土的一家大型銀行開(kāi)展過(guò)討論����,他們表示已經(jīng)開(kāi)始把技能培訓(xùn)作為企業(yè)的第三大重點(diǎn)目標(biāo)來(lái)處理,而且到目前為止還不知道何時(shí)才能收到成效�����,”Maman告訴我們�����。
更多信息請(qǐng)查看IT技術(shù)專欄
由于各方面情況的不斷調(diào)整與變化��,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考,敬請(qǐng)考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇?zhǔn)�����!
公眾號(hào)
事業(yè)單位
當(dāng)前位置:
公考類
招聘類
各類考試
