管理員需要深入了解內部威脅

申請免費試用、咨詢電話：400-8352-114

安全防護提供商們有230萬的例子說明要與所謂的“內部威脅”做斗爭，保護信息安全的必要性。他們的用戶相信他們的信息被國家情報服務的數據庫管理員盜取或者出售過。

目前的情況下，公司越來越需要在看待數據庫管理員這個角色上找到一個平衡的定位，是把數據庫管理員看作是一名安全守護者，還是看作一名安全威脅分子。

Forrester研究中心的分析家Noel Yuhanna說：“首先，數據庫管理員是一名需要值得信任的角色--如果你不相信你的數據庫管理員，那么你就解雇他或者讓另外一個數據庫管理員取代他，特別是當你處理敏感企業(yè)數據庫的時候?！?

Eric Ogren，Ogren小組的主要分析家說：“數據庫管理員在企業(yè)信息安全方面扮演了一個重要的角色。”根據Ogren小組的觀點，在談及到安全的問題上，數據庫管理員受到了不公正的待遇。

他說：“我的感覺數據管理就應該是一種解決方案，目前正在構建這種解決方案，我還不確定這種方案機制是否健康的發(fā)展。”非常巧合的是，在Fidelity事件上了新聞媒體兩天后，GAO（美國國會總審計局）發(fā)布了一個報告，這個報告檢查了在2001年1月到2005年6月之間的24個大的報告資料數據。發(fā)現只有3例是通過現存的的帳戶進行欺騙，只有1例是通過使用折中的數據來新建一個帳戶 。通過報告，非常困難的確定具體欺騙報告中的數據源。

Ron Ben-Natan，Guardium的CTO說商業(yè)應該應該以冷戰(zhàn)時期的格言所描述的方式運營：“信任和監(jiān)督并存”
他說：“我們都想雇到一個值得信任的職員，但是我們必須同時為安全和管理需求指定一個策略，信任不能是策略，希望也不能是政策。在我們日常的網絡和數據庫工作中集成像政府機關間相互制約的策略時，我們就能提前獲得信號，發(fā)現一些惡意行為如數據破壞，并且阻止他們發(fā)生?！?

一些開發(fā)商在銷售他們的產品的時候，注意到數據庫管理員和安全專家之間的脫節(jié)。Dan Sarel，數據庫安全提供商Sentrigo產品管理前主席說：“許多傳統(tǒng)的安全專家只是注重安全問題，而數據庫管理員只是注重數據庫的性能。”
他說：“不過還好，現在他們不需要互相兼顧了?！?

以前一個數據庫管理員的職責就是訪問數據庫，因此將數據暴露在他們面前。但是，整個數據庫行業(yè)在發(fā)展，最終會發(fā)展到將數據庫中的數據封裝化，即使對管理員也是如此。

Yuhanna說：“數據庫管理系統(tǒng)的開發(fā)上如Oracle、 IBM 、Microsoft正在擴展他們的產品在監(jiān)控特權用戶功能的解決方案，提供給數據庫管理員更少的權限來訪問數據，最終的目標就是讓數據庫管理員管理數據庫，而不是管理數據……我們正在朝這個方向前進，但是至少需要2-3年的時間來完成這個目標。至于目前，我們需要監(jiān)視數據庫管理員的行為--就像用一個照相機來監(jiān)視你的保姆?！?

如果沒有人受到傷害的話，但是照相機不會將保姆的行為公之與眾。GAO報告也許會對數據違反通告案造成一定的影響，要求所有的數據違反都要被通告于眾。這些額外的通告將會導致人們一起忽略所有的通告，這樣的一個通告法律會給企業(yè)和報告狀態(tài)強加了成本負擔。

Ben-Natan說：“通告的最終目的不是驚恐用戶，當然，是為了保證他們受保護，最終，強迫企業(yè)組織投資預防--這比在數據違反發(fā)生后在清除要便宜的多。另外一個問題就是公司不知道數據是如何訪問的，他們很少知道那些用戶處于危險之中，因此他們就不得不通知每一個處于潛在危險之中的人。”

他接著說：“但是，公司不應該不合法的使用數據，任何折中的一次做法就足以流失客戶，導致他們頭疼和經濟負債?！?
Mark Kraynak，Imperva市場營銷經理說在加里福利亞開始強制執(zhí)行數據違反法律的時，許多的公司都掩蓋數據安全違反，三緘其口，導致用戶沒有任何的警告和沒有辦法進行自身的防護。

他說：“公開是非常明智的，因為你會強制公司來處理這些問題，而不是保持沉默。因此隨著時間的推移，私人數據的安全性就會提升到一個新的水平?！?(itpub)