這篇文章來自networkworld,2023年10月25日發表。文章說,根據esg的研究報告,15%的企業將資料庫安全認作是最重要的資訊保安挑戰,此外還有57%的企業認為資料庫安全是他們前五位資訊保安挑戰之一。可見資料庫安全之重要。
作者指出了一種受到了誤導的傾向,就是很多人將資料庫安全等同於dam(資料庫行為監測,database activity monitoring)。dam在國內經常為稱作「資料庫審計」產品,近幾年來也是十分熱門,baidu一下可以看到很多廣告排在前面,可見一斑。事實上,正如文章作者指出的那樣,資料庫安全遠遠不是dam可以搞定的,dam只是資料庫安全的乙個很小的方面,之所以有時候對等起來,一方面是市場/廠商的宣傳導致的誤導嫌疑,另一方面我認為的確是這個部分的問題比較容易產品化/工具化,技術實現相對比較成熟。其實,在sans發表在於2023年的***中,以及forrester的報告中,早已說得明白。forrester將資料庫安全細分為:new licenses and support, database auditing, real-time protection, data masking, vulnerability assessment, and database encryption across all database management system (dbms) platforms。而sans則將資料庫安全劃分為:訪問控制、加密、審計、安全配置和管理(職責分離)。而forrester有專門對dam的市場分析,不等同於資料庫安全。
還有一點也要澄清的是,資料庫安全不等於資料安全!別暈。
1)資料庫資產管理;
2)資料庫配置加固;
3)職責分離;
4)特權使用者控制;
5)資料庫弱點掃瞄和補丁管理;
6)資料庫加密;
7)dam;
總的來說,與forrester和sans的差不多,包括nist也有這方面的指引,也是差不多的。
題外話,對於做產品的人來說,賣dam是不等同於賣資料庫安全解決方案的,以後不要誤導使用者。而從上述幾個方面來看,除了dam的產品化程度較高外,其他的都有待進一步實現產品化。目前,比較有希望的是資料庫弱點掃瞄和補丁管理、其次是配置加固、資料庫加密。不過這些產品/準產品還有更長(相對於dam)的路要走。
資料庫安全 不只是DAM
這篇文章來自networkworld,2011年10月25日發表。文章說,根據esg的研究報告,15 的企業將資料庫安全認作是最重要的資訊保安挑戰,此外還有57 的企業認為資料庫安全是他們前五位資訊保安挑戰之一。可見資料庫安全之重要。作者指出了一種受到了誤導的傾向,就是很多人將資料庫安全等同於dam...
安全不只是意識層面上的
在資訊提高班兩年的時間裡,安全 二字一直縈繞在我們的身邊。雖然沒有發生過太大的事情的,但正像公尺老師所言,安全問題,無小事。加之最近的幾次危險事件,更要提高警惕,加深認識。但要清楚安全不只是意識層面上的東西。正如今天,徐霜師妹所言,發生事情要首先在自身上找問題。近期多次發生熱得快點燃紙張事件,我首先...
網路安全並不只是邊界保護
一種越來越明顯的趨勢是 web2.0 應用給 web 瀏覽器帶來了更多的安全風險,需要更加主動地保護每台電腦或移動裝置去訪問網際網路。超級連線 hyperconnectivity 時代已經初見端詳,它會促進訪問網際網路的使用者,以及應用 裝置的快速增長。據估計到 2010 年,每乙個人將使用十種裝置...