隨著新的一年日益臨近，各企業也開始為未來的業務進程秣馬厲兵，而這也正是我們著眼于流程與技術，并重新評估它們如何切實降低安全風險的最佳時機。在數據庫級別的日常應用中，某些根本性措施在不少企業中仍然沒能得到有效開展。

下面這份操作清單根據數據庫安全專家們在2011年內所公布的意見匯總得出。認真學習并仔細考量能夠為我們制定一套完善的安全計劃帶來巨大幫助，進而指導2012年及之后階段的發展方針。

1.確保我們的數據庫無法輕易在網上被檢索到

數家企業都在今年遭遇窘境，因為他們的IT部門在配置數據庫時保留了面向網絡的接口；在情況下，數據庫本身將很容易被從網上檢索到。

"當下存在的眾多數據庫都在處理來自不同位置、不同設備的訪問請求方面下足了功夫。在大多數人的觀念中，他們認為要對某臺服務器進行訪問，必須要通過其上運行的某款應用程序方可實現，而在應用程序之下的實際數據理應由于應用本身的安全性保障而同樣比較安全，"RedSeal System公司CTO Mike Lloyd博士如是說。"但大家的數據庫就擺在那里，而且在很多情況下，從投入使用的那一刻開始，它就被配置成與網絡相連的狀態。"

2.更好地對數據加以分類

當企業在嘗試將數據庫中的高價值數據與低敏感信息加以分類時，他們也就同時獲得了按優先級別管理安全風險以及部署更有針對性的保護機制的能力。

"大中型企業在分類工作上做得仍然不夠到位，"Verizon Business首席主管Chris Novak指出。"在這些企業中，大家面對的是分布的世界各地的辦公室、高校以及其它復合型設施。而問題在于，如果來自這么多分支機構的大量信息不能加以有效分類，那么原本只存在于其中一地的風險很可能擴散到整個整個體系中去。"

3.確保密碼以非純文本形式存儲

安全措施的一大核心內容是撥亂反正，而在大多數機構中，將數據庫密碼以純文本形式存儲就是這"亂"中最為致命的疏漏之一。

"這種情況真的相當普遍，尤其是在那些大型乃至巨型規模的企業中更為明顯--相比之下新興企業由于自身業務剛剛起步，盡管處于高增長狀態下，但卻較少成為攻擊者的目標，"Vormetric公司市場營銷與產品管理部門副總裁Gretchen Hellman如是說。

在匿名惡意組織的覬覦之下，這些密碼基本上等于是處在開門揖盜的狀態下。

4.加強自身配置

如果讓數據庫安全專家給出一條能夠對未來一年起到廣泛輔助作用的提示，那就是提醒我們對數據庫的現有疏漏進行修補。

在這方面，更新默認登錄、系統削減過多的執行特權以及自動檢測流程以找出存在隱患的流氓數據庫都是降低安全風險的有效手段。

5.檢查明顯的加密失誤

盡管數據庫加密工作在部署方面可謂蒸蒸日上，但其中仍然存在著大量失誤，例如將數據庫加密密鑰存儲在同一臺服務器中以及使用過時的加密算法等等。

"如果大家對自己數據庫中的敏感數據進行加密的話，有一種嚴重的違規行為需要當心，即將用于加密數據的密鑰或者用于獲取密鑰的身份驗證資格同加密數據存儲在同一套數據庫系統內，"Voltage Security公司安全架構主管Luther Martin提醒道。"這么會導致我們在安全工作上所做的努力化為泡影。盡管表面上看來似乎整套體系似乎相當堅固，但事實上它基本沒能提供什么有效的保護機制。"

6.對投保三思而后行

許多機構都將希望寄托在言辭美妙、承諾誘人的數據故障保險政策上，意圖以此作為對小概率突發事件的防范機制。但專家們認為這些保險規劃中其實存在著許多值得注意的問題。

"與企業購買的其它各類保險項目不同，目前數據安全保險還沒有一套標準化形式--也就是說計算機行業由于自身特性而存在一種不確定性，因此無法像常見的員工投保、財產投保一樣采用普遍的責任劃分，"Innovation保險集團資深顧問兼創始人Ty Sagalow解釋道。"另外，這類保險屬于所謂盈余投保范疇，這意味著它們并非得到政府批準并備案過的項目，也就是說保險公司可以自主設定其條款及理賠條件。"

7.部署一套有序的事故警示機制

許多安全專家都認為，對于大多數機構而言，遭遇安全事故其實可以算是種必然情況，惟一的區別在于具體的發生時間。有鑒于此，他們建議打造一套有序的事故警示機制，以期盡可能減少問題所帶來的影響及損失。

"如果大家為此準備一套應對方案，那就表示你已經走在了大多數機構的前面，"災后響應咨詢公司ID Expert總裁兼創始人Rick Kam表示。"大部分管理者都準備了備份恢復計劃、業務連續性計劃，甚至針對火災情況也準備了必要的方案；但由于事故警示機制不會顯露出不可或缺的特性，因此人們往往忽略了這種能夠大幅度降低損失的寶貴方案。"

原文鏈接：http://www.darkreading.com/database-security/167901020/security/application-security/232300909/7-housekeeping-duties-for-better-database-security-in-2012.html