分析:公司必须决定在处理“内部威胁”问题上,给予多大的信任才不为过。
安全防护提供商们有230万的例子说明要与所谓的“内部威胁”做斗争,保护信息安全的必要性。他们的用户相信他们的信息被国家情报服务的数据库管理员盗取或者出售过。
目前的情况下,公司越来越需要在看待数据库管理员这个角色上找到一个平衡的定位,是把数据库管理员看作是一名安全守护者,还是看作一名安全威胁分子。
Forrester研究中心的分析家Noel Yuhanna说:“首先,数据库管理员是一名需要值得信任的角色——如果你不相信你的数据库管理员,那么你就解雇他或者让另外一个数据库管理员取代他,特别是当你处理敏感企业数据库的时候。”
Eric Ogren,Ogren小组的主要分析家说:“数据库管理员在企业信息安全方面扮演了一个重要的角色。”根据Ogren小组的观点,在谈及到安全的问题上,数据库管理员受到了不公正的待遇。
他说:“我的感觉数据管理就应该是一种解决方案,目前正在构建这种解决方案,我还不确定这种方案机制是否健康的发展。”非常巧合的是,在Fidelity事件上了新闻媒体两天后,GAO(美国国会总审计局)发布了一个报告,这个报告检查了在2001年1月到2005年6月之间的24个大的报告资料数据。发现只有3例是通过现存的的帐户进行欺骗,只有1例是通过使用折中的数据来新建一个帐户 。通过报告,非常困难的确定具体欺骗报告中的数据源。
Ron Ben-Natan,Guardium的CTO说商业应该应该以冷战时期的格言所描述的方式运营:“信任和监督并存”
他说:“我们都想雇到一个值得信任的职员,但是我们必须同时为安全和管理需求指定一个策略,信任不能是策略,希望也不能是政策。在我们日常的网络和数据库工作中集成像政府机关间相互制约的策略时,我们就能提前获得信号,发现一些恶意行为如数据破坏,并且阻止他们发生。”
一些开发商在销售他们的产品的时候,注意到数据库管理员和安全专家之间的脱节。Dan Sarel,数据库安全提供商Sentrigo产品管理前主席说:“许多传统的安全专家只是注重安全问题,而数据库管理员只是注重数据库的性能。”
他说:“不过还好,现在他们不需要互相兼顾了。”
以前一个数据库管理员的职责就是访问数据库,因此将数据暴露在他们面前。但是,整个数据库行业在发展,最终会发展到将数据库中的数据封装化,即使对管理员也是如此。
Yuhanna说:“数据库管理系统的开发上如Oracle、 IBM 、Microsoft正在扩展他们的产品在监控特权用户功能的解决方案,提供给数据库管理员更少的权限来访问数据,最终的目标就是让数据库管理员管理数据库,而不是管理数据……我们正在朝这个方向前进,但是至少需要2-3年的时间来完成这个目标。至于目前,我们需要监视数据库管理员的行为——就像用一个照相机来监视你的保姆。”
如果没有人受到伤害的话,但是照相机不会将保姆的行为公之与众。GAO报告也许会对数据违反通告案造成一定的影响,要求所有的数据违反都要被通告于众。这些额外的通告将会导致人们一起忽略所有的通告,这样的一个通告法律会给企业和报告状态强加了成本负担。
Ben-Natan说:“通告的最终目的不是惊恐用户,当然,是为了保证他们受保护,最终,强迫企业组织投资预防——这比在数据违反发生后在清除要便宜的多。另外一个问题就是公司不知道数据是如何访问的,他们很少知道那些用户处于危险之中,因此他们就不得不通知每一个处于潜在危险之中的人。”
他接着说:“但是,公司不应该不合法的使用数据,任何折中的一次做法就足以流失客户,导致他们头疼和经济负债。”
Mark Kraynak,Imperva市场营销经理说在加里福利亚开始强制执行数据违反法律的时,许多的公司都掩盖数据安全违反,三缄其口,导致用户没有任何的警告和没有办法进行自身的防护。
他说:“公开是非常明智的,因为你会强制公司来处理这些问题,而不是保持沉默。因此随着时间的推移,私人数据的安全性就会提升到一个新的水平。”
阅读(230) | 评论(0) | 转发(0) |