㈠ 四步教你如何完善企業資料庫安全政策
隨著日益復雜的攻擊和不斷上升的內部數據盜竊,資料庫安全成為企業信息安全團隊重點關注的焦點,超越了傳統的認證、授權和訪問控制。一個私人數據入侵,如信用卡號或財務數據,可以給機構造成巨大的損失,更不用說訴訟和違規罰款等可能會帶來的持久影響。Forrester研究公司建議機構重新制定它們的資料庫安全策略,在新安全特性的應用和功能上尋找差距,這有助於幫助資料庫應對新的威脅。
1、建立一個集身份驗證、授權、訪問控制、發現、分類,以及補丁管理於一體的堅實基礎
了解哪些資料庫包含敏感數據是資料庫安全戰略的基本要求。企業應對所有的資料庫採取一個全面的庫存管理,包括生產和非生產的,並且遵循相同的安全政策給它們劃分類別。所有的資料庫,尤其是那些存有私人數據的資料庫,應該有強的認證、授權和訪問控制,即使應用層已經完成了認證和授權。缺乏這些堅實基礎會削弱審計、監察和加密等其他的安全措施。
此外,如果不能每季度給所有的關鍵資料庫打補丁,那麼至少半年一次,以消除已知的漏洞。使用滾動補丁或從資料庫管理系統(DBMS)的供應商和其他廠商那裡收集信息,以盡量減少應用補丁的停機時間。始終在測試環境下測試安全補丁,定期運行測試腳本,以確保修補程序不影響應用程序的功能或性能。
2、使用具有數據屏蔽、加密和變更管理等功能的預防措施
在建立了一個堅實和基本的資料庫安全策略後,就應該開始採取預防措施,以保護重要的資料庫。這樣就為生產和非生產資料庫提供了一個保護層。數據隱私不隨著生產系統而停止,它也需要擴展到非生產環境,包括測試、開發、質量保證(QA)、分階段和訓練,基本上所有的私有數據都可以駐留。資料庫安全專業人士應該評估在測試環境中或外包應用開發中用數據屏蔽和測試數據生成來保護私有數據的效果。
使用網路加密以防止數據暴露給在監聽網路流量或數據靜止加密的窺視者(他們關注存儲在資料庫中的數據)。當數據針對不同的威脅,這些加密方法可以實現相互獨立。通常情況下,也不會對應用程序的功能有影響。
保護關鍵資料庫的結構要按照標准化的變更管理程序來進行。在過去,對生產環境中的計劃或其它資料庫進行變更時需要關閉資料庫,但新版本的資料庫管理系統允許在聯機時進行這些更改,這就帶來了新的安全風險。一個標准化的變更管理程序能確保只有管理員在得到管理部門批准後才能改變生產資料庫並且跟蹤所有資料庫的變更。機構還應該更新自己的備份和可行性計劃,以處理數據或元數據因這些變更而發生的改變。
3、建立具有審計、監測和漏洞評估功能的資料庫入侵檢測系統
當重要數據發生意外變化或者檢測到可疑數據時,有必要進行一個快速的調查來查看發生了什麼事情。資料庫里的數據和元數據可以被訪問、更改甚至是刪除,而且這些都可以在幾秒鍾的時間內完成。通過資料庫審計,我們能夠發現是誰改變了數據和這些數據是什麼時候被改變的等問題。為了支持之前提到的管理條例標准,安全和風險管理的專業人士應該追蹤私人數據的所有訪問途徑和變化情況,這些私人數據包括:信用卡卡號、社會安全卡卡號以及重要的資料庫的名稱和地址等信息。如果私人數據在沒有授權的情況下被更改或者被訪問,機構應該追究負責人的責任。最後,可以使用漏洞評估報告來確定資料庫的安全空白地帶,諸如弱效密碼、過多的優先訪問權、增加資料庫管理員以及安全群組監測。
4、牢記安全政策、安全標准、角色分離和可用性
資料庫安全策略不僅關注審計和監測,它也是一個端到端的過程,致力於減少風險、達到管理條例的要求以及防禦來自內部和外部的各種攻擊。資料庫安全需要把注意力更多地放在填補安全空白、與其他安全政策協作以及使安全方式正式化上。在草擬你的安全策略時,要使你的資料庫安全政策與信息安全政策一致;要注意行業安全標准;要強調角色分離;要清楚描述出數據恢復和數據使用的步驟。
㈡ 加強資料庫許可權控制和輸入限制是有效的資料庫安全措施
加強資料庫許可權控制和輸入限制,能夠在一定程度上提高資料庫漏洞的利用難度,降低資料庫被攻擊的可能性,其主要手段有:用戶許可權最小化原則,加強資料庫用戶管理,嚴格檢查資料庫安全配置,資料庫功能最小化,及時升級安全補丁等。
安華金和數據安全攻防實驗室(DBSec Labs)於2010年11月成立,是我國一支獨立的、持久的針對資料庫安全漏洞、資料庫攻擊技術模擬和資料庫安全防護技術進行研究的專業隊伍。旨在通過資料庫漏洞與攻擊技術的研究制定有效的防禦手段和技術,從而降低資料庫安全風險,以實現對數據資產的保護。
安華金和數據安全攻防實驗室針對資料庫漏洞安全威脅定期發布報告,旨在幫助廣大用戶了解資料庫安全形勢,完善企業及組織的數據安全解決方案提供幫助。