去年六月,一个机器人病毒攻击了宾夕法尼亚州大学的数据库,数据库中存储的15805条社会保障号码被泄露。更早几年前,一台保存有社会保障号码的笔记本电脑在匹兹堡大学被窃。
Matthew Stewart是Robert Morris 大学(RMU)信息安全主管,在他受聘主管学校的安全工作时,他想阻止这类数据库安全事件发生。在本次Oracle OpenWorld 2010会议上,Stewart讨论了保障教育机构信息安全的困难。
Stewart说:“对大学来说,唯一的事就是他们不得不开放。他们有学术自由;你不能把他们锁死。但是你不得不遵从法律约束,这带来了许多特殊的挑战。”
例如,当人们在一所学校内的这个校区走到另一个校区时,很容易忘记他们有过不同的访问级别。但是内部访问者并不是唯一的威胁,Stewart说黑客、学生、恶意软件、网络钓鱼软件、物理盗窃,甚至DBA的误操作都是所有他关注的重大安全问题。
于是,他向Oracle求助。
在Stewart加入RMU时,安全状况“非常糟糕”。他们运行Oracle 8.1,打补丁周期非常少,而且有太多的访问权限被授予给太多人员了。但是,通过利用Oracle Advanced Security(一款可以帮助实现像网络加密,透明数据加密和备份中的数据保护这几类关键领域的产品),Stewart可以快速扭转局面。
他说:“我们利用分层的安全方法来覆盖所有方面。”他描述了他创建的六层安全措施:主动软件保障,阻塞基于网络的攻击,阻塞基于主机的攻击,消除安全薄弱环节,安全支持授权用户,管理安全和使效益最大化的工具层。
Stewart还强调了透明数据加密(TDE)的重要性,它是对静态数据的加密。他说Robert Morris选择基于表空间的TDE,而不是基于数据列的TDE,是因为大学里要处理大量的事务业务。性能测试表明,增加了安全加密以后对性能的影响是微乎其微的。
Kurt Lysy是Oracle公司一位高级安全部署专家,他说你的TDE还应该与你的备份和恢复策略保持一致。
Lysy说:“当你看到加密静态数据的大视角时,千万不要忘了加密那些备份数据的重要性。”
然而,Stewart在采取措施保护他组织的数据时,他可能是少数派。来自独立Oracle用户组(IOUG)的最新数据安全调查结果显示,在430名受访者中,只有30%以下的人在他们的组织中对所有数据库中的个人身份信息进行加密。
许多受访者还表示他们正在采取反应性的,而不是预防性的方法来保护数据库安全,而且他们中有四分之三组织没有有效方式可以阻止有权限的数据库用户访问HR系统,财务系统,或者他们数据库中的其他业务应用数据。
现在,RMU正迁移向Oracle 11g数据库,系统环境是64为的企业版Linux,而且现在有了补丁管理流程。Stewart说RMU正在制定流程,通过Oracle Advanced Security的使用来降低数据非法访问。但是,他们仍然有改进的余地。他希望使用的下一代Oracle产品之一是Audit Vault。
他说:“我想看到每个用户都在做什么。这对我们来说是非常大的一块。”