管理員需要深入了解內(nèi)部威脅

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

安全防護(hù)提供商們有230萬(wàn)的例子說(shuō)明要與所謂的“內(nèi)部威脅”做斗爭(zhēng)，保護(hù)信息安全的必要性。他們的用戶相信他們的信息被國(guó)家情報(bào)服務(wù)的數(shù)據(jù)庫(kù)管理員盜取或者出售過(guò)。

目前的情況下，公司越來(lái)越需要在看待數(shù)據(jù)庫(kù)管理員這個(gè)角色上找到一個(gè)平衡的定位，是把數(shù)據(jù)庫(kù)管理員看作是一名安全守護(hù)者，還是看作一名安全威脅分子。

Forrester研究中心的分析家Noel Yuhanna說(shuō)：“首先，數(shù)據(jù)庫(kù)管理員是一名需要值得信任的角色--如果你不相信你的數(shù)據(jù)庫(kù)管理員，那么你就解雇他或者讓另外一個(gè)數(shù)據(jù)庫(kù)管理員取代他，特別是當(dāng)你處理敏感企業(yè)數(shù)據(jù)庫(kù)的時(shí)候?！?

Eric Ogren，Ogren小組的主要分析家說(shuō)：“數(shù)據(jù)庫(kù)管理員在企業(yè)信息安全方面扮演了一個(gè)重要的角色。”根據(jù)Ogren小組的觀點(diǎn)，在談及到安全的問(wèn)題上，數(shù)據(jù)庫(kù)管理員受到了不公正的待遇。

他說(shuō)：“我的感覺(jué)數(shù)據(jù)管理就應(yīng)該是一種解決方案，目前正在構(gòu)建這種解決方案，我還不確定這種方案機(jī)制是否健康的發(fā)展?！狈浅Ｇ珊系氖?，在Fidelity事件上了新聞媒體兩天后，GAO（美國(guó)國(guó)會(huì)總審計(jì)局）發(fā)布了一個(gè)報(bào)告，這個(gè)報(bào)告檢查了在2001年1月到2005年6月之間的24個(gè)大的報(bào)告資料數(shù)據(jù)。發(fā)現(xiàn)只有3例是通過(guò)現(xiàn)存的的帳戶進(jìn)行欺騙，只有1例是通過(guò)使用折中的數(shù)據(jù)來(lái)新建一個(gè)帳戶 。通過(guò)報(bào)告，非常困難的確定具體欺騙報(bào)告中的數(shù)據(jù)源。

Ron Ben-Natan，Guardium的CTO說(shuō)商業(yè)應(yīng)該應(yīng)該以冷戰(zhàn)時(shí)期的格言所描述的方式運(yùn)營(yíng)：“信任和監(jiān)督并存”
他說(shuō)：“我們都想雇到一個(gè)值得信任的職員，但是我們必須同時(shí)為安全和管理需求指定一個(gè)策略，信任不能是策略，希望也不能是政策。在我們?nèi)粘５木W(wǎng)絡(luò)和數(shù)據(jù)庫(kù)工作中集成像政府機(jī)關(guān)間相互制約的策略時(shí)，我們就能提前獲得信號(hào)，發(fā)現(xiàn)一些惡意行為如數(shù)據(jù)破壞，并且阻止他們發(fā)生。”

一些開(kāi)發(fā)商在銷售他們的產(chǎn)品的時(shí)候，注意到數(shù)據(jù)庫(kù)管理員和安全專家之間的脫節(jié)。Dan Sarel，數(shù)據(jù)庫(kù)安全提供商Sentrigo產(chǎn)品管理前主席說(shuō)：“許多傳統(tǒng)的安全專家只是注重安全問(wèn)題，而數(shù)據(jù)庫(kù)管理員只是注重?cái)?shù)據(jù)庫(kù)的性能。”
他說(shuō)：“不過(guò)還好，現(xiàn)在他們不需要互相兼顧了?！?

以前一個(gè)數(shù)據(jù)庫(kù)管理員的職責(zé)就是訪問(wèn)數(shù)據(jù)庫(kù)，因此將數(shù)據(jù)暴露在他們面前。但是，整個(gè)數(shù)據(jù)庫(kù)行業(yè)在發(fā)展，最終會(huì)發(fā)展到將數(shù)據(jù)庫(kù)中的數(shù)據(jù)封裝化，即使對(duì)管理員也是如此。

Yuhanna說(shuō)：“數(shù)據(jù)庫(kù)管理系統(tǒng)的開(kāi)發(fā)上如Oracle、 IBM 、Microsoft正在擴(kuò)展他們的產(chǎn)品在監(jiān)控特權(quán)用戶功能的解決方案，提供給數(shù)據(jù)庫(kù)管理員更少的權(quán)限來(lái)訪問(wèn)數(shù)據(jù)，最終的目標(biāo)就是讓數(shù)據(jù)庫(kù)管理員管理數(shù)據(jù)庫(kù)，而不是管理數(shù)據(jù)……我們正在朝這個(gè)方向前進(jìn)，但是至少需要2-3年的時(shí)間來(lái)完成這個(gè)目標(biāo)。至于目前，我們需要監(jiān)視數(shù)據(jù)庫(kù)管理員的行為--就像用一個(gè)照相機(jī)來(lái)監(jiān)視你的保姆?！?

如果沒(méi)有人受到傷害的話，但是照相機(jī)不會(huì)將保姆的行為公之與眾。GAO報(bào)告也許會(huì)對(duì)數(shù)據(jù)違反通告案造成一定的影響，要求所有的數(shù)據(jù)違反都要被通告于眾。這些額外的通告將會(huì)導(dǎo)致人們一起忽略所有的通告，這樣的一個(gè)通告法律會(huì)給企業(yè)和報(bào)告狀態(tài)強(qiáng)加了成本負(fù)擔(dān)。

Ben-Natan說(shuō)：“通告的最終目的不是驚恐用戶，當(dāng)然，是為了保證他們受保護(hù)，最終，強(qiáng)迫企業(yè)組織投資預(yù)防--這比在數(shù)據(jù)違反發(fā)生后在清除要便宜的多。另外一個(gè)問(wèn)題就是公司不知道數(shù)據(jù)是如何訪問(wèn)的，他們很少知道那些用戶處于危險(xiǎn)之中，因此他們就不得不通知每一個(gè)處于潛在危險(xiǎn)之中的人。”

他接著說(shuō)：“但是，公司不應(yīng)該不合法的使用數(shù)據(jù)，任何折中的一次做法就足以流失客戶，導(dǎo)致他們頭疼和經(jīng)濟(jì)負(fù)債。”
Mark Kraynak，Imperva市場(chǎng)營(yíng)銷經(jīng)理說(shuō)在加里福利亞開(kāi)始強(qiáng)制執(zhí)行數(shù)據(jù)違反法律的時(shí)，許多的公司都掩蓋數(shù)據(jù)安全違反，三緘其口，導(dǎo)致用戶沒(méi)有任何的警告和沒(méi)有辦法進(jìn)行自身的防護(hù)。

他說(shuō)：“公開(kāi)是非常明智的，因?yàn)槟銜?huì)強(qiáng)制公司來(lái)處理這些問(wèn)題，而不是保持沉默。因此隨著時(shí)間的推移，私人數(shù)據(jù)的安全性就會(huì)提升到一個(gè)新的水平?！?(itpub)