薄弱的加密措施让数据库关键信息面临更多风险。数据库加密对于关键数据的存储安全性有着巨大的意义,但这种积极意义产生的前提是首先将加密工作做好。随着数据库加密部署情况的日益增多,部署效果自然也随之变得良莠不齐。以下五类数据库加密部署是专家组们公认的最差实践方式。为了获得最理想的安全效益,我们应该尽量避免如下几类操作失误。
1.将密钥保存在错误的地方
据安全专家称,很多人习惯于将加密的数据和密钥一起存放,这称得上是数据库加密工作中的原罪之一。
"如果你在你的数据库中加密敏感信息,那么千万不要把加密密钥或者认证证书同与之相关加密数据存储在一起。"电气行业首席安全工程师Luther Martin说道,"一旦发生这种情况,虽然感觉上加密信息是安全的,其实整套体系已经失去了实际意义。"
若想真正地保护好数据,要将密钥妥善地加以管理;应把它与加密数据、敏感信息密钥之类,各自区分并存放。
2.密钥未能集中管理
由于很多企业自身的安保机制较为薄弱,因此随意将密钥保存在防范措施不足的地方也就比较常见。
"关键问题在于在企业内部,使用大量密钥和数字签证的情况广泛存在",Venafi的CEO Jeff Hudson说,"研究表明,企业中所管理的认证及密钥系统少则上千、多则上万的现象非常普遍。"
很多厂商都销售加密产品,却没有向客户教授相应的管理应用知识,Hudson说。
"加密技术只是解决方案的一半。IT部门必须掌握监控密钥并需要了解都谁有权使用密钥。为了维护整个企业的利益,快速为密钥部署妥善的保护机制可谓至关重要,"他说。"为了严格贯彻访问控制,职责分离以及策略改善制度,大家需要对自动化监控密钥和证书管理工作加深理解。"
理论上,为了了解本地密钥在哪里以及保护这些密钥的具体方案,企业应当尽可能地集中管理密钥。
3.依靠自创的方案
IT人士最怕的就是客户自己搞出一套自创系统,借以节约成本。但他们的利己意识倒不一定是坏事,因为除非你的员工都是具有多年经验的密码专家,否则轻易使用自制的加密方案或者密钥管理系统简直就是自掘坟墓。
"失败的自主开发数据库加密密钥管理方案的部署,会迫使那些主要经营零售业的厂商转型为专业型供应商" Protegrity公司的CTO Ulf Mattsson说:"这看起来非常容易但实际上相当危险。"
4.缺乏备份资料加密机制
如果你只对数据库进行加密,而不对相关数据的备份加以同样的保护,也会让你的企业陷入风险当中。
"在我们生活的时代里,磁带落在后备厢里,笔记本丢了等等所有意外情况都不能成为我们的借口," 403网络安全CEO Alan Wlasuk说"为所有数据库的备份资料进行加密是一件理所当然的事。"
"即使表面上看来毫无价值,也要以00加密格式备份所有数据库内容,"他说"数据备份最终会存储在一个意想不到的地方,如果你知道他们是安全的,你也就可以高枕无忧了。"
5.使用过时的加密算法
在去年11月Gawker遭受的重创中,部分原因就是密码信息惨遭泄露,这些密码被几十年未更新过的陈旧加密技术保护着。而这一情况并非特例。许多企业都需要对数据进行加密,但使用的却是超级老旧的加密方式,这简直像是在用纸做的盔甲来保护自己的身体。
"多年前使用的中古加密技术系统早就扛不住了" Wlasuk说。企业不仅仅要留心加密数据库,同样要关注哪些加密技术已经过时、并迫切需要新的加密算法补充进来。