随着日益复杂的攻击和不断上升的内部数据盗窃，数据库安全成为企业信息安全团队重点关注的焦点，超越了传统的认证、授权和访问控制。一个私人数据入侵，如信用卡号或财务数据，可以给机构造成巨大的损失，更不用说诉讼和违规罚款等可能会带来的持久影响。

　　制定一个成功的数据库安全策略的关键在于你要了解为什么要保护数据库，保护哪个数据库，以及如何最好的保护数据以应对所有类型的威胁，遵从各种规范——如SOX、HIPAA、PCI DSS、GLBA 和欧盟法令。在最新的研究中，Forrester建议企业按照以下三点来建立完整的数据库安全策略：

　　1、建立一个集身份验证、授权、访问控制、发现、分类，以及补丁管理于一体的坚实基础

　　了解哪些数据库包含敏感数据是数据库安全战略的基本要求。企业应对所有的数据库采取一个全面的库存管理，包括生产和非生产的，并且遵循相同的安全政策给它们划分类别。所有的数据库，尤其是那些存有私人数据的数据库，应该有强的认证、授权和访问控制，即使应用层已经完成了认证和授权。缺乏这些坚实基础会削弱审计、监察和加密等其他的安全措施。

　　此外，如果不能每季度给所有的关键数据库打补丁，那么至少半年一次，以消除已知的漏洞。使用滚动补丁或从数据库管理系统(DBMS)的供应商和其他厂商那里收集信息，以尽量减少应用补丁的停机时间。始终在测试环境下测试安全补丁，定期运行测试脚本，以确保修补程序不影响应用程序的功能或性能。

　　2、使用具有数据屏蔽、加密和变更管理等功能的预防措施

　　在建立了一个坚实和基本的数据库安全策略后，就应该开始采取预防措施，以保护重要的数据库。这样就为生产和非生产数据库提供了一个保护层。数据隐私不随着生产系统而停止，它也需要扩展到非生产环境，包括测试、开发、质量保证(QA)、分阶段和训练，基本上所有的私有数据都可以驻留。数据库安全专业人士应该评估在测试环境中或外包应用开发中用数据屏蔽和测试数据生成来保护私有数据的效果。

　　使用网络加密以防止数据暴露给在监听网络流量或数据静止加密的窥视者(他们关注存储在数据库中的数据)。当数据针对不同的威胁，这些加密方法可以实现相互独立。通常情况下，也不会对应用程序的功能有影响。

　　保护关键数据库的结构要按照标准化的变更管理程序来进行。在过去，对生产环境中的计划或其它数据库进行变更时需要关闭数据库，但新版本的数据库管理系统允许在联机时进行这些更改，这就带来了新的安全风险。一个标准化的变更管理程序能确保只有管理员在得到管理部门批准后才能改变生产数据库并且跟踪所有数据库的变更。机构还应该更新自己的备份和可行性计划，以处理数据或元数据因这些变更而发生的改变。

　　免费咨询热线：400-880-5062 电话：021-51905999

　　本文摘自：http://www.suninfo.com/view-2282.html

　　其他相关资讯：IFC4000系列存储设备 http://www.suninfo.com/view-343.html