網絡真是個讓人不省心的地方。不僅美國國家安全局可能密切監視著您。所謂的六次反盜版行動也在充分發揮著作用，您可能永遠不知道連好萊塢在監視著您在網上的一舉一動。還有大量惡意的黑客試圖攻擊您的電子郵件、Facebook和Twitter賬號。

數據庫安全技術在企業環境下的表現總是不夠理想，而在眾多影響效果的因素之中，復雜性始終是引發問題的關鍵。

盡管目前針對敏感數據庫保護推出的產品已經相當成熟、大多數管理者也擁有一定執行經驗，但不少企業在運用綜合性數據庫安全技術與流程來保護關鍵性數據庫方面仍然有很長的路要走——更不用說企業數據庫了。雖然合規性委托正逐步推動數據庫活動監控(簡稱DAM)工具在企業層面的普及，但技術本身在企業玩意中的成長仍然受到兩大因素的重重制約，這就是成本與復雜性。

“在企業中實施安全技術需要面臨重重困難的原因之一在于成本模式，”Securosis公司分析師兼CTO Adrian Lane指出。“很多時候要想在企業中全面推廣安全方案要求管理者投入巨額資金，但與之形成鮮明對比的是，方案供應商往往將情況描述得很美好、讓人誤以為花不了多少錢就能搞定一切。”

根據Lane的說法，來自數家金融機構的報告顯示DAM技術的最終推廣開支比最初預算高出兩到三倍。

根據多位安全專家的意見，如今的數據庫安全技術確實有些太過復雜以至于很難打理。GreenSQL日前對超過1300位IT專業人士開展了調查，希望了解他們在處理數據庫安全問題時所面臨的最大阻礙。有31%的受訪者將矛頭指向復雜性，這也使其順利成為數據庫安全阻礙中的罪魁禍首。

那么數據庫安全機制的部署工作到底為什么既昂貴且復雜?下面我們一起來看影響最大的五個因素：

1. 規模

當一家小型或中型企業只需要處理幾十或至多幾百臺數據庫服務器的保護工作時，也許我們還有辦法應付下來，GreenSQL公司聯合創始人兼CTO David Maman指出。但企業中的數據庫基礎設施如雨后春筍般迅速涌現并形成規模，那么保護工作就變得極為困難、單靠人力操控幾乎無法實現。

“走訪全球財富五百強企業，我們會發現其中約有四成擁有超過一萬臺數據庫服務器，”Mamann表示。“在如此龐大的規模之上，僅僅對其中五分之一數據庫進行活動監控就能輕易花掉企業數百萬美元預算。”

2.合規性部署不當

大多數DAM技術的早期買家都希望能憑借現成方案快速搞定自身SOX合規性問題。即使是在合規性仍然作為安全方案銷售主導的今天，我們仍然面臨著嚴峻現實——跨數據庫合規性部署不當情況普遍存在，這直接導致安全方案的功能性受到制約、管理員只能分別或同時使用其中的一小部分功能。

很多時候購買了超過需要的DAM方案或是沒有按預期方式使用這項技術——這基本上已經成為一種常態。

“有趣的是，我最近看到很多使用DAM技術的用戶沒有進行登錄檢測，而這恰恰是我們購買這類工具的主要目的，”Lane解釋道。“這樣的部署模式太糟糕了，因為如果拋開登錄檢測，我們還有很多更便宜的方案來實現其它功能訴求。”

3. SIEM與DAM未能默契配合

根據Lane的觀點，很多企業在安全機制身上花了大量時間、聘請多位專家并投入海量資源，希望打造出全能型安全信息及事件管理(簡稱SIEM)平臺。但其中最大的問題在于：除了少數特例，大部分用戶都沒能讓DAM與SIEM展開默契配合。

“許多企業選擇對SIEM進行投資并將其視為安全工具的主體方案，換言之業務環境下的所有狀況都應被正確反饋到SIEM當中，”Lane表示。“但坦誠地講，DAM與SIEM很難并行不悖，除非技術人員能把二者的功能加以全面整合。”

4.性能至上、忽視安全

通過觀察，Maman發現即使是在已經具備某種監控技術的企業中，IT團隊仍然不敢利用封鎖機制預言濫用狀況的發生。

“就算是出于安全性考量，他們還是不能承擔某些敏感信息或必要數據無法被系統調用的風險，”他補充道。

事實上，“數據庫管理員既了解又忽視”著數據庫安全問題，Lane解釋道。他們通常會把數據安全作為數據庫管理工作中的一項重點——他們甚至愿意在內核層面使用代理。然而在管理人員的思維中，安全的重要性永遠要低于性能表現，他指出。而一旦管理工作或政策制定方面出現兩難選擇，他們必然會首先放棄安全訴求。

“數據庫管理員并不是安全專家，他們不清楚合理威脅是什么、也不知道該如何制定政策加以解決，”他表示。“因此他們會把希望寄托在工具上，并努力適應其中一切不合理之處。”

數據庫的復雜性則起到了推波助瀾的作用，它在專注于性能的數據庫管理員與努力規避風險的安全專家之間構建起一道鴻溝，前者不懂安全、后者不了解數據庫運行原理。也正是出于這個原因，GreenSQL的調查中才有五分之一的受訪者認為數據庫安全課題對技能、溝通等專業水平的要求是解決一切的最大阻礙。缺乏這樣的專業知識，我們很可能制定出危險的配置規劃、進而令安全主動權徹底丟失。

“數據庫往往非常復雜，所以保證數據庫管理員理解各類配置方案給安全性帶來的潛在影響就顯得非常重要，”Stonesoft公司技術部門副總裁Phil Lerner告訴我們。“當管理員專注于可用性時，他們往往也同時忽視了可能引發安全漏洞并造成機密數據外泄的配置問題。應用程序及其訪問與加密處理同樣會給后端數據庫帶來重大安全風險。”

5.應用程序復雜性

數據庫安全課題中的另一大重大挑戰在于，這些數據只有在與動態應用環境連接的前提下才能正常發揮作用——而最嚴重的安全事故往往與這些連接機制密不可分。下面我們就以SAP應用為例。

“SAP應用以一種極為復雜的方式管理著數據庫架構，”Maman指出。“它會根據數百套不同數據庫的運行狀況生成超過一千套表格，并分別為其創建難以理解的表格標題。當我們鉆研數據庫內容時，必須得拿出大把大把的時間來嘗試弄懂自己能在哪個源應用中的哪個表格處使用權限。”

應用程序與數據庫之間的關系不僅極為復雜，而且非常多變。企業級應用的動態特性使其難于直接為DAM工具所控制，只有經過嚴格培訓的管理員才能打理好一切、并以自動化形式實施封鎖政策。

“我們曾與美國本土的一家大型銀行開展過討論，他們表示已經開始把技能培訓作為企業的第三大重點目標來處理，而且到目前為止還不知道何時才能收到成效，”Maman告訴我們。