“对比小型公司的10个数据库安全提示”

最近广泛传播的数据泄露的共同点是什么？ 除了丢失的笔记本电脑、被抢的手持设备、垃圾桶潜水员或从办公室实际截取pc的人之外，所有违规行为都与作为通用实体的数据库有关。

在过去两年中2亿多个人记录被泄露的个人记录中，至少有三分之一来自数据库，安全营销战略副总裁泰德·朱利安( ted julian )引用了隐私交换所的数据泄露统计。 此外，违规的频率和严重性有所增加。 圣地亚哥身份盗窃资源中心的数据显示，2007年，个人新闻被盗的美国人是2006年的4倍。

不要被数据库欺骗。 当然，这些名字听起来可能很严肃( oracle，ingres )，也可能很纯粹( mysql，sql server，sleepycat )。 但是，未开箱的数据库是安全的。 另外，因为数据库是最重要的目标，所以将很多潜在的有利新闻集中在一个地方。 企业战略集团的解析器mark bowker指出，数据库是存储公司最重要的东西。 这与企业的规模无关。

但是，由于其运营规模，大型组织越来越多地关注数据违规问题。 例如，9月，ameritrade发布了630多万客户数据违规行为。 另外，tjx企业(零售店tj maxx和marshalls所有人)最近提起了大规模的集体诉讼，原因是无法非法保存和保护4570万顾客的信用卡数据。

存储机密信息和受管制的新闻会给所有企业带来风险，但小型企业可能会遭受越来越多的损失。 mark kraynak，imperva战术营销高级总监，表示由于基础设施少，数据丢失对中小企业的影响非常大。 他们可能没有备份，也可能没有组织资金和响应小组来解决严重的公共违规行为或起诉。

那么，中小企业如何防止数据库最终破坏业务呢？ 专家将提供10个保护数据库的提示

1 .我知道你面临风险

没有包含接入互联网的机密新闻的数据库吗？ 你还很危险。 forrester research估计，所有数据库漏洞的70%都是在内部生成的，不需要互联网连接。 不幸的是，检测内部攻击者可能非常困难。 最大的威胁是实际的数据库管理员( dba )。

forrester research的分析师noel yuhanna指出，dba在工作中可以享受一定程度的自由，因此很难抓住坏的dba。 特别是，由于dba完全可以访问数据库中的所有数据，因此可能会在无人知道的情况下修改或删除数据。

因此，必须以安全的方式记录事件，因为我们希望确保dba和其他拥有特权访问权限的客户不应该这样做。 kraynak先生说。 但是，大多数数据库专家都承认，数据库监控工具在很大程度上属于大型企业的行业。 中小企业一般需要关注更基本的问题。

2 .优先考虑安全性

如果dba有安全问题，也需要仔细检查安全习性。 实际上，yuhanna估计dba在数据库的安全上平均只消耗了其时间的7%。

对数据库安全的关注很少，也不足为奇。 esg的bowker指出，smb的任务是退出应用程序，退出数据库，确保数据库在线可用，并保持良好的性能。 不幸的是，安全性一般在列表的底部。

将数据库安全性添加到dba作业的说明中。

3 .启用安全功能

缺省情况下，数据库几乎没有启用安全控制。 事实上，大多数数据库对客户和管理员的帐户都有很弱的身份验证控制，而且每个人都知道默认密码。

这是改善的东西。 yuhanna说，一些旧数据库，特别是sybase和sql server在缺省情况下不需要密码，可以完全访问数据库。 但是，今天的数据库可以本地解析三个a :身份验证、授权和访问控制。 启用这样的功能。

4 .修补数据库

在将数据放置到数据库之前，请检查修补程序级别，检查配置方法，并检查默认值是否容易受到攻击。 从默认客户到默认打开的功能，加拉加斯州。 因此，我们希望对数据库进行判断和修复。 这并不容易。

有关详细信息，请参见业务数据库漏洞扫描工具或免费选项，如imperva中的scuba。

5 .限制数据库访问

然后，为了便于理解，限制对生产数据库和基础硬件的数据库访问。

鲍克说，管理员密码一直是开放的it机密，他以前在经营家庭企业it商店时认罪。 说实话，即使像hr数据库这样简单的东西，所有it人员都能访问，同时也可以查询工资和新闻。 但是，因为没有访问等初始控制。 数据库所在的计算机的限制。

6 .禁止复制批发数据库

生产数据库通常具有所有指定的用户或保护装置。 但是，复制数据库后，谁来监视数据库？ 简单地说，数据库拷贝可能不安全。 因为这是内部威胁。 包克尔说。 dba，这些类型的人拥有root的顾客访问权限，基本上可以读取任何副本。 不允许未选中的数据库重复。

7 .有库存

数据库开箱后立即锁定数据库，禁止批量复制是好事，但是如何保护已经很大的数据库和副本呢？

企业必须定期检索现有的所有数据库进行库存。 我知道生产数据库可能会隐藏多个拷贝。 一般来说，多个公司都有生产数据库，但通常预计该数据库有许多副本(例如，开发人员有副本)，并且多个数据库彼此对应并相互调用。

大型组织使用自动发现工具不断搜索和监视数据库，以防止敏感信息以未加密的方式存储。 专家说，小规模的组织可能知道那些数据库中含有机密新闻。

8 .保护现有数据库的安全性首先

使用数据库列表解决风险最高的数据库。 有了这些新闻，大多数中小企业会发现可以删除一些“数据”或隐藏一些新闻，从而最大限度地减少曝光，简化必要的安全性改进。 应用程序的julian谈到了安全性。

它还确定数据库中已知的漏洞和修补程序级别。 imperva的kraynak说:“判断完成后，每季度重新进行判断，或者情况会发生变化，所以必须确保有定期检查这些副本的流程。”

最后，考虑客户帐户。forrester估计，30%的数据库帐户是重复或无效的帐户。 为了防止不满的原员工，请定期删除与偶像重复的账户。

9 .扰乱共享数据

如果公司限制制作数据库副本，开发人员如何获得开发和测试新应用程序所需的数据？ 销售经理如何在客户关系管理系统中培训新的代理商？ 在这种情况下，建议bowker使用应用程序、惠普出口网络、IBM打印软件和Solix技术等公司的工具对数据库进行子集化。

在子集中，dba (或由敏感数据指定的卫士)可以在首先删除、转换或伪造敏感新闻之后，根据数据库子集的采用方法选择性地共享数据库的一部分。 例如，开发人员和测试人员可能要求伪造的数据(如信用卡号和社会保险号)仍然足够(在应用程序逻辑中)，足以表示实际的东西。

10 .计划数据库退休

最后，请记住数据库永远不存在。 bowker先生在使用这个术语时，确实会废除数据库。 或者被废除。 通常，这包括使用标记的xml样式导出数据库，以便稍后进行搜索或满足存储要求。 与所有敏感数据一样，限制对这些xml文件的访问。

新的破损方程

请业务管理者在上述提示上签名可能需要改变态度。 kraynak先生说，一般赋予让dba工作，迅速执行的任务。 一旦破裂，业务就会破裂，如果发展速度不够快，本质上业务就会破裂。

现在，只需要将数据泄漏因素纳入这个破坏方程式中。