這篇文章來(lái)自NetworkWorld，2011年10月25日發(fā)表。文章說(shuō)，根據(jù)ESG的研究報(bào)告，15%的企業(yè)將數(shù)據(jù)庫(kù)安全認(rèn)作是最重要的信息安全挑戰(zhàn)，此外還有57%的企業(yè)認(rèn)為數(shù)據(jù)庫(kù)安全是他們前五位信息安全挑戰(zhàn)之一。可見(jiàn)數(shù)據(jù)庫(kù)安全之重要。

作者指出了一種受到了誤導(dǎo)的傾向，就是很多人將數(shù)據(jù)庫(kù)安全等同于DAM（數(shù)據(jù)庫(kù)行為監(jiān)測(cè)，Database Activity Monitoring）。DAM在國(guó)內(nèi)經(jīng)常為稱作“數(shù)據(jù)庫(kù)審計(jì)”產(chǎn)品，近幾年來(lái)也是十分熱門(mén)，Baidu一下可以看到很多廣告排在前面，可見(jiàn)一斑。事實(shí) 上，正如文章作者指出的那樣，數(shù)據(jù)庫(kù)安全遠(yuǎn)遠(yuǎn)不是DAM可以搞定的，DAM只是數(shù)據(jù)庫(kù)安全的一個(gè)很小的方面，之所以有時(shí)候?qū)Φ绕饋?lái)，一方面是市場(chǎng)/廠商的 宣傳導(dǎo)致的誤導(dǎo)嫌疑，另一方面我認(rèn)為的確是這個(gè)部分的問(wèn)題比較容易產(chǎn)品化/工具化，技術(shù)實(shí)現(xiàn)相對(duì)比較成熟。其實(shí)，在SANS發(fā)表在于2009年的白皮書(shū)中，以及Forrester的報(bào)告中， 早已說(shuō)得明白。Forrester將數(shù)據(jù)庫(kù)安全細(xì)分為：new licenses and support, database auditing, real-time protection, data masking, vulnerability assessment, and database encryption across all database management system (DBMS) platforms。而SANS則將數(shù)據(jù)庫(kù)安全劃分為：訪問(wèn)控制、加密、審計(jì)、安全配置和管理（職責(zé)分離）。而Forrester有專(zhuān)門(mén)對(duì)DAM的市場(chǎng)分析，不等同于數(shù)據(jù)庫(kù)安全。

還有一點(diǎn)也要澄清的是，數(shù)據(jù)庫(kù)安全不等于數(shù)據(jù)安全！別暈。

回到本文，作者提出了他認(rèn)為數(shù)據(jù)庫(kù)安全應(yīng)該包括的方面：

1）數(shù)據(jù)庫(kù)資產(chǎn)管理；

2）數(shù)據(jù)庫(kù)配置加固；

3）職責(zé)分離；

4）特權(quán)用戶控制；

5）數(shù)據(jù)庫(kù)弱點(diǎn)掃描和補(bǔ)丁管理；

6）數(shù)據(jù)庫(kù)加密；

7）DAM；

總的來(lái)說(shuō)，與Forrester和SANS的差不多，包括NIST也有這方面的指引，也是差不多的。

題外話，對(duì)于做產(chǎn)品的人來(lái)說(shuō)，賣(mài)DAM是不等同于賣(mài)數(shù)據(jù)庫(kù)安全解決方案的，以后不要誤導(dǎo)用戶。而從上述幾個(gè)方面來(lái)看，除了DAM的產(chǎn)品化程度較高 外，其他的都有待進(jìn)一步實(shí)現(xiàn)產(chǎn)品化。目前，比較有希望的是數(shù)據(jù)庫(kù)弱點(diǎn)掃描和補(bǔ)丁管理、其次是配置加固、數(shù)據(jù)庫(kù)加密。不過(guò)這些產(chǎn)品/準(zhǔn)產(chǎn)品還有更長(zhǎng)（相對(duì)于 DAM）的路要走。

轉(zhuǎn)載于:https://blog.51cto.com/wuenlong/778133

總結(jié)

以上是生活随笔為你收集整理的数据库安全：不只是DAM的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。