精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全解決方案 → 正文

確保數據庫安全的七大必要策略

責任編輯:FLORA |來源:企業網D1Net  2011-12-28 09:29:16 本文摘自:51cto

隨著新的一年日益臨近,各企業也開始為未來的業務進程秣馬厲兵,而這也正是我們著眼于流程與技術,并重新評估它們如何切實降低安全風險的最佳時機。在數據庫級別的日常應用中,某些根本性措施在不少企業中仍然沒能得到有效開展。

下面這份操作清單根據數據庫安全專家們在2011年內所公布的意見匯總得出。認真學習并仔細考量能夠為我們制定一套完善的安全計劃帶來巨大幫助,進而指導2012年及之后階段的發展方針。

1.確保我們的數據庫無法輕易在網上被檢索到

數家企業都在今年遭遇窘境,因為他們的IT部門在配置數據庫時保留了面向網絡的接口;在情況下,數據庫本身將很容易被從網上檢索到。

“當下存在的眾多數據庫都在處理來自不同位置、不同設備的訪問請求方面下足了功夫。在大多數人的觀念中,他們認為要對某臺服務器進行訪問,必須要通過其上運行的某款應用程序方可實現,而在應用程序之下的實際數據理應由于應用本身的安全性保障而同樣比較安全,”RedSeal System公司CTO Mike Lloyd博士如是說。“但大家的數據庫就擺在那里,而且在很多情況下,從投入使用的那一刻開始,它就被配置成與網絡相連的狀態。”

2.更好地對數據加以分類

當企業在嘗試將數據庫中的高價值數據與低敏感信息加以分類時,他們也就同時獲得了按優先級別管理安全風險以及部署更有針對性的保護機制的能力。

“大中型企業在分類工作上做得仍然不夠到位,"Verizon Business首席主管Chris Novak指出。"在這些企業中,大家面對的是分布的世界各地的辦公室、高校以及其它復合型設施。而問題在于,如果來自這么多分支機構的大量信息不能加以有效分類,那么原本只存在于其中一地的風險很可能擴散到整個整個體系中去。”

3.確保密碼以非純文本形式存儲

安全措施的一大核心內容是撥亂反正,而在大多數機構中,將數據庫密碼以純文本形式存儲就是這"亂"中最為致命的疏漏之一。

“這種情況真的相當普遍,尤其是在那些大型乃至巨型規模的企業中更為明顯--相比之下新興企業由于自身業務剛剛起步,盡管處于高增長狀態下,但卻較少成為攻擊者的目標,”Vormetric公司市場營銷與產品管理部門副總裁Gretchen Hellman如是說。

在匿名惡意組織的覬覦之下,這些密碼基本上等于是處在開門揖盜的狀態下。

4.加強自身配置

如果讓數據庫安全專家給出一條能夠對未來一年起到廣泛輔助作用的提示,那就是提醒我們對數據庫的現有疏漏進行修補。

在這方面,更新默認登錄、系統削減過多的執行特權以及自動檢測流程以找出存在隱患的流氓數據庫都是降低安全風險的有效手段。

5.檢查明顯的加密失誤

盡管數據庫加密工作在部署方面可謂蒸蒸日上,但其中仍然存在著大量失誤,例如將數據庫加密密鑰存儲在同一臺服務器中以及使用過時的加密算法等等。

“如果大家對自己數據庫中的敏感數據進行加密的話,有一種嚴重的違規行為需要當心,即將用于加密數據的密鑰或者用于獲取密鑰的身份驗證資格同加密數據存儲在同一套數據庫系統內,”Voltage Security公司安全架構主管Luther Martin提醒道。“這么會導致我們在安全工作上所做的努力化為泡影。盡管表面上看來似乎整套體系似乎相當堅固,但事實上它基本沒能提供什么有效的保護機制。”

6.對投保三思而后行

許多機構都將希望寄托在言辭美妙、承諾誘人的數據故障保險政策上,意圖以此作為對小概率突發事件的防范機制。但專家們認為這些保險規劃中其實存在著許多值得注意的問題。

“與企業購買的其它各類保險項目不同,目前數據安全保險還沒有一套標準化形式——也就是說計算機行業由于自身特性而存在一種不確定性,因此無法像常見的員工投保、財產投保一樣采用普遍的責任劃分,”Innovation保險集團資深顧問兼創始人Ty Sagalow解釋道。“另外,這類保險屬于所謂盈余投保范疇,這意味著它們并非得到政府批準并備案過的項目,也就是說保險公司可以自主設定其條款及理賠條件。”

7.部署一套有序的事故警示機制

許多安全專家都認為,對于大多數機構而言,遭遇安全事故其實可以算是種必然情況,惟一的區別在于具體的發生時間。有鑒于此,他們建議打造一套有序的事故警示機制,以期盡可能減少問題所帶來的影響及損失。

“如果大家為此準備一套應對方案,那就表示你已經走在了大多數機構的前面,”災后響應咨詢公司ID Expert總裁兼創始人Rick Kam表示。“大部分管理者都準備了備份恢復計劃、業務連續性計劃,甚至針對火災情況也準備了必要的方案;但由于事故警示機制不會顯露出不可或缺的特性,因此人們往往忽略了這種能夠大幅度降低損失的寶貴方案。”

原文出處:http://netsecurity.51cto.com/art/201112/309591.htm

關鍵字:數據庫安全安全風險數據庫加密

本文摘自:51cto

x 確保數據庫安全的七大必要策略 掃一掃
分享本文到朋友圈
當前位置:安全解決方案 → 正文

確保數據庫安全的七大必要策略

責任編輯:FLORA |來源:企業網D1Net  2011-12-28 09:29:16 本文摘自:51cto

隨著新的一年日益臨近,各企業也開始為未來的業務進程秣馬厲兵,而這也正是我們著眼于流程與技術,并重新評估它們如何切實降低安全風險的最佳時機。在數據庫級別的日常應用中,某些根本性措施在不少企業中仍然沒能得到有效開展。

下面這份操作清單根據數據庫安全專家們在2011年內所公布的意見匯總得出。認真學習并仔細考量能夠為我們制定一套完善的安全計劃帶來巨大幫助,進而指導2012年及之后階段的發展方針。

1.確保我們的數據庫無法輕易在網上被檢索到

數家企業都在今年遭遇窘境,因為他們的IT部門在配置數據庫時保留了面向網絡的接口;在情況下,數據庫本身將很容易被從網上檢索到。

“當下存在的眾多數據庫都在處理來自不同位置、不同設備的訪問請求方面下足了功夫。在大多數人的觀念中,他們認為要對某臺服務器進行訪問,必須要通過其上運行的某款應用程序方可實現,而在應用程序之下的實際數據理應由于應用本身的安全性保障而同樣比較安全,”RedSeal System公司CTO Mike Lloyd博士如是說。“但大家的數據庫就擺在那里,而且在很多情況下,從投入使用的那一刻開始,它就被配置成與網絡相連的狀態。”

2.更好地對數據加以分類

當企業在嘗試將數據庫中的高價值數據與低敏感信息加以分類時,他們也就同時獲得了按優先級別管理安全風險以及部署更有針對性的保護機制的能力。

“大中型企業在分類工作上做得仍然不夠到位,"Verizon Business首席主管Chris Novak指出。"在這些企業中,大家面對的是分布的世界各地的辦公室、高校以及其它復合型設施。而問題在于,如果來自這么多分支機構的大量信息不能加以有效分類,那么原本只存在于其中一地的風險很可能擴散到整個整個體系中去。”

3.確保密碼以非純文本形式存儲

安全措施的一大核心內容是撥亂反正,而在大多數機構中,將數據庫密碼以純文本形式存儲就是這"亂"中最為致命的疏漏之一。

“這種情況真的相當普遍,尤其是在那些大型乃至巨型規模的企業中更為明顯--相比之下新興企業由于自身業務剛剛起步,盡管處于高增長狀態下,但卻較少成為攻擊者的目標,”Vormetric公司市場營銷與產品管理部門副總裁Gretchen Hellman如是說。

在匿名惡意組織的覬覦之下,這些密碼基本上等于是處在開門揖盜的狀態下。

4.加強自身配置

如果讓數據庫安全專家給出一條能夠對未來一年起到廣泛輔助作用的提示,那就是提醒我們對數據庫的現有疏漏進行修補。

在這方面,更新默認登錄、系統削減過多的執行特權以及自動檢測流程以找出存在隱患的流氓數據庫都是降低安全風險的有效手段。

5.檢查明顯的加密失誤

盡管數據庫加密工作在部署方面可謂蒸蒸日上,但其中仍然存在著大量失誤,例如將數據庫加密密鑰存儲在同一臺服務器中以及使用過時的加密算法等等。

“如果大家對自己數據庫中的敏感數據進行加密的話,有一種嚴重的違規行為需要當心,即將用于加密數據的密鑰或者用于獲取密鑰的身份驗證資格同加密數據存儲在同一套數據庫系統內,”Voltage Security公司安全架構主管Luther Martin提醒道。“這么會導致我們在安全工作上所做的努力化為泡影。盡管表面上看來似乎整套體系似乎相當堅固,但事實上它基本沒能提供什么有效的保護機制。”

6.對投保三思而后行

許多機構都將希望寄托在言辭美妙、承諾誘人的數據故障保險政策上,意圖以此作為對小概率突發事件的防范機制。但專家們認為這些保險規劃中其實存在著許多值得注意的問題。

“與企業購買的其它各類保險項目不同,目前數據安全保險還沒有一套標準化形式——也就是說計算機行業由于自身特性而存在一種不確定性,因此無法像常見的員工投保、財產投保一樣采用普遍的責任劃分,”Innovation保險集團資深顧問兼創始人Ty Sagalow解釋道。“另外,這類保險屬于所謂盈余投保范疇,這意味著它們并非得到政府批準并備案過的項目,也就是說保險公司可以自主設定其條款及理賠條件。”

7.部署一套有序的事故警示機制

許多安全專家都認為,對于大多數機構而言,遭遇安全事故其實可以算是種必然情況,惟一的區別在于具體的發生時間。有鑒于此,他們建議打造一套有序的事故警示機制,以期盡可能減少問題所帶來的影響及損失。

“如果大家為此準備一套應對方案,那就表示你已經走在了大多數機構的前面,”災后響應咨詢公司ID Expert總裁兼創始人Rick Kam表示。“大部分管理者都準備了備份恢復計劃、業務連續性計劃,甚至針對火災情況也準備了必要的方案;但由于事故警示機制不會顯露出不可或缺的特性,因此人們往往忽略了這種能夠大幅度降低損失的寶貴方案。”

原文出處:http://netsecurity.51cto.com/art/201112/309591.htm

關鍵字:數據庫安全安全風險數據庫加密

本文摘自:51cto

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 日土县| 开封市| 文安县| 保靖县| 安溪县| 怀仁县| 耒阳市| 古丈县| 湄潭县| 旺苍县| 新丰县| 庆安县| 金秀| 田林县| 额济纳旗| 寻甸| 清新县| 阜城县| 建宁县| 聂拉木县| 闽清县| 监利县| 富顺县| 徐州市| 平潭县| 稻城县| 特克斯县| 吐鲁番市| 榆社县| 江都市| 阿尔山市| 独山县| 西吉县| 临洮县| 武宣县| 宜黄县| 吉林省| 虞城县| 海晏县| 崇义县| 株洲市|