数据库安全大打折扣 应归咎于谁

      Enterprise Strategy Group日前所做的IT决策者市场调研报告显示目前IT决策者对数据库安全还缺乏足够的重视。

      在接受调研的179名受访者当中,有58%的受访者表示数据库是他们存储机密数据的所在地,超过一半的受访者表示他们的企业在过去一年中遭受过数据丢失。有54%的受访者则表示内部流程和有效控制的缺失影响了他们数据库安全部署的有效实施。

      根据调研显示,15%的受访者认为他们的企业在过去经历过几次机密数据的丢失,另有41%的受访者称他们的企业只经历过一次。

      40%的受访者将数据库安全没有得到有效保障的原因归咎于预算不足。其他人认为是缺少高管的重视。还有21%的受访者表示“我们没有精确统计过企业数据库的数量”或者说“我们不知道什么类型的数据库安全技术和控制是企业所需要的”。

      调研还指出,企业面临的另一个挑战是数据库安全的责任涉及到企业的不同部门,包括安全管理员,IT运作人员,数据中心经理和系统管理员。42%的受访者将数据库安全的职责划归数据库管理员所有。而在某些企业,数据库安全是由数据库安全专员的岗位来负责的。

      发起本次调研的Application Security公司的市场和通讯部门总监汤姆.本尼认为,是否将数据库安全由一个人来负责最好是由企业环境的规模来决定。

      本尼表示“2009年可能会成为数据库安全管理员岗位正式运行的开始,但关键点在于部门间的协同合作,IT部门必须站在同一条战线上,还必须清楚的知道那里缺少资源的支持。他们可以根据安全的优先级从数据核心内部往外进行部署来确保每项保障措施,安全协议和流程都实施到位。毕竟数据库管理员不是唯一可以看到数据库的人员,因此访问控制非常重要”。

      相互制衡是确保企业内部安全水平的必要途径,本尼表示。不过本尼强调说仍然必须要设置一个部门或团队来对数据库安全担负完最终职责,并且得到高级管理团队的支持。

      Enterprise Strategy Group分析师Jon Oltsik表示高级经理人必须经过数据库安全防范的专门培训。

      “我认为企业对安全意识的培养还存在差距。IT经理人担心增加这方面的预算会给企业带来负担,但事实上花费在防火墙上的支出与数据库安全支出并没有什么不同”。

      在这份调研报告中,Oltsik推荐企业使用全面的数据库详细目录,应用集成了诸如用户监控,数据库侦测和攻击弱点扫描等多重性能于一身的数据库安全产品套装。他还建议企业根据资源定义协议和最佳解决方案,然后按照需要的先后顺序来执行安全保障。