移动安全安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 安全管理 >

数据库安然治理实践 你的数据库在哪里?

时间:2013-10-09 10:39来源:TuZhiJiaMi企业信息安全专家 点击:
所稀有据库安然计谋的最首要的步调之一,同时也是最有可能被人遗忘的步调之一,就是:列出企业治理的数据库。只有企业知道它有多少个数据库,哪个数据库包含敏感信息,企业才有可能
Tags数据安全(840)安全管理(325)数据库(89)  

  所稀有据库安然计谋的最首要的步调之一,同时也是最有可能被人遗忘的步调之一,就是:列出企业治理的数据库。只有企业知道它有多少个数据库,哪个数据库包含敏感信息,企业才有可能基于风险来对这些数据库进行优先排序,并摆设恰当的节制。但是,在数据库发现方面,良多公司仍然处于“浑沌”当中。

  Imperva公司高级产品经理Anu Yamunan暗示:“良多公司都难以定位和准确地知道其数据库上的所稀有据。”Vigilant公司高级经理Paul Borchardt也附和这个说法,他看到良多公司没法保护全部企业的数据库或利用法度库存清单。他暗示,“你听起来很是简单且具有逻辑性,但准确的资产清单凡是是不存在的,假定存在的话,也是由不合伙产治理者(例如数据库治理员和开辟人员)分离治理的,没法找出包含你的客户的PII信息的数据库,这将会让你难以面对监管机构和法院的审查。”

  这里的部门标题问题在于范围。良多企业在其IT根本举措措施内运行数百个数据库,有些数据库比其他数据库加倍较着一些。按照最新的IOUG企业数据安然查询拜访,38%的企业运行着超越100个数据库,而18%运行超越1000个数据库。再加上数据库和利用法度的动态本质,我们就可以够大白,为甚么看似如斯简单的任务仍然在IT的必做工作清单中。

  MENTIS Software 市场营销和产品计谋副总裁Kevin O'Malley 暗示:“数据库的首要标题问题是复杂性,不竭的改变使企业几近不成能经由过程手动法度来追踪。”

  别的,其他营业和手艺趋势也加重了发现和追踪数据库的难度。Yamunan暗示,“虚拟化就是此中之一,例如,治理员可以轻松地成立一个数据库的新的虚拟镜像,这个虚拟镜像此刻包含一个‘虚拟’数据库,不受IT安然节制。”

  一样地,备份数据存储到云中也给发现和呵护数据库带来了暗藏的标题问题。快照功能不但成立了难以追踪的数据库副本,并且它们凡是不具有加密功能。例如,亚马逊AWS具有关系数据库办事(RDS),而没有加密数据库快照功能。

  Laconic Security公司结合初创人Fred Thiele暗示,“别的,亚马逊还有冗余故障转移选项,假定主数据库呈现故障,还可以保持最新的备份,一样,假定你数据库中有未加密的数据,未加密的数据会以纯文本格局被复制到亚马逊的另外一个处所。”

  不管如何,企业应当想编制来主动扫描根本举措措施,以发现和追踪数据库及其包含的信息。O'Malley成立每个月或起码每个季度进行一次完全扫描,来确保企业可以或许找出敏感数据。按期如许做很首要,因为数据库的内容可能会跟着时候的推移而改变,看似无用的数据可能会变成敏感数据。

  “在按期扫描的根本上,企业还应当查抄和修复根本举措措施缝隙和弊端建设,并延续监控哪些人可以拜候敏感数据,”Yamunan觉得这会让企业更等闲找出存在缝隙的敏感数据库。如许做根基上可以或许为不合数据的不合数据集来成立风险评分。例如,没有及时修复缝隙的数据库,而又包含诺言卡信息,同时又可以或许被外部用户和利用拜候,这类数据库就是高风险数据库。

------分隔线----------------------------

推荐内容