您的数据库安全吗？你如何判断它的安全状况？Enterprise Strategy Group在最近的一项调查中发现，在过去的12个月内，57%的数据库受到过攻击且对数据库的攻击事件呈现上升趋势，仅与身份信息相关的窃取行为造成的损失就已高达3880亿美元。为了保护这些数据，组织机构除了需要采取必要的网络安全措施，更重要的是还必须对这些数据的存放处——数据库采取必须的安全保护措施。

DBP解决方案概述

AppSec公司的数据库安全防护DbProtect（简称“DBP”）是数据库安全性和法规遵从性的解决方案，能够满足各种数据库对安全的需求。在一个动态的数据库生态系统中，应用程序、数据库、用户、软件等的更新、添加等操作，将使整个信息系统越来越难以保持受控状态。而DBP这套全新的、自动化的工具能够帮助组织机构简化并控制数据库安全进程实现对数据库的有效保护。DBP可以协助组织机构解决以下五个关键问题：

1)   隔离敏感数据库：为企业部署的所有数据库维护一个准确的清单并标识出数据库中的敏感数据；

2)   消除漏洞：通过不断地评估，识别并修复数据库漏洞；

3)   强制执行最小权限：确定用户权限并强制执行用户访问控制，限制特权，只赋予员工完成其工作所需的对数据的最小访问权限；

4)   偏离监控：根据定制的策略监控那些没有修复的漏洞以及那些偏离授权的行为；

5)   对可疑行为的响应：对任何异常或可疑的行为进行实时的报警和响应，使受到攻击的风险最小化。

DBP 采用经验证的过程控制方法，使数据库的安全进程可控。

DBP首先采用一个自动运行的发现程序来收集组织机构中数据库的详细数据；接下来，DBP分析那些突出显示区域上的数据，这些数据表明可能存在风险或需要对数据库安全过程进行改进；然后，基于以上分析，DBP 提供工具和详细的补救措施，以消除数据库的安全漏洞；最后，DBP还将强制执行数据库安全控制策略并监视和响应非授权行为。

DBP软件

DBP 是一个纯软件的解决方案，适用范围涵盖了从中小型企业到大型企业。DBP功能化的体系结构和灵活的定价策略使组织机构能够经济、高效地部署，从而满足组织机构目前和未来增长的需要。

DBP的数据库安全过程控制功能可帮助组织机构了解数据库及其环境，并关注可疑的和未经授权的数据库活动，减少攻击途径，同时优化数据库安全操作。

漏洞管理

安全漏洞管理功能Vulnerability Management是DBP的基础功能，实现无与伦比的数据库评估功能。DBP可以对任意数据库进行定位、检查、报告和修复安全漏洞及错误配置。Vulnerability Management包括：

数据库发现

有效的数据库安全过程控制的第一步是准确的获取完整的企业数据库清单。随着时间推移，企业的数据库清单会逐渐模糊，被遗忘或未授权的数据库会越来越多，其结果就是，攻击者往往会以此为跳板去访问那些包含敏感数据的数据库，从而给给企业带来安全风险。DBP 的数据库发现功能Data Discovery通过维护企业在网络上的所有数据库的完整清单来解决这个问题，该清单中包括每个数据库的IP 地址、数据库类型、平台和版本等信息。

敏感数据发现

DBP 的敏感数据发现功能Sensitive Data Discovery （可选） 可以将数据库清单上升到更高的层次，即定位和标识每个数据库中的敏感数据。并快速地对数据进行分析并分类。由于它能将敏感数据的位置定位到列一级，这有助于组织机构为限制对敏感数据的访问而制定更精细、更准确的策略、设计修复计划的优先次序以及集中精力监视重要操作等

渗透测试和安全及配置审核

有效的数据库安全过程控制的第二步是识别并修复不断暴露出来的数据库漏洞及错误配置。DBP 的渗透性测试Penetration Testing 和安全及配置审核 Security & Configuration Auditing对缺省口令、弱口令、未安装补丁程序、禁用的安全功能、不当的访问控制等进行识别及测试，使一个组织机构可以有效的消除哪些导致敏感数据风险的漏洞及错误配置，以帮助组织机构减少攻击者访问敏感数据的途径。

策略开发

DBP的强大的策略开发Policy Development引擎,可以自定义适合企业环境的、高效的数据库策略，这些策略包括定义所有需要监视的特权活动、对敏感数据的访问和所有可疑活动。DBP 的策略模板覆盖了萨班斯-奥克斯利法案(SOX)、PCI-DSS、NIST 800.53、DISA STIG、HIPAA等要求。

SHATTER知识库

DBP 的SHATTER知识库包含了全面的漏洞及威胁检测的行业标准。它由SHATTER项目组支持，该项目组是世界上最大的、经验最丰富的数据库漏洞研究组织。DBP的ASAP更新机制可确保SHATTER知识库每月与最新的数据库漏洞和威胁同步更新，该知识库是目前包含数据库漏洞和错误配置信息最多的库。

风险分析

DBP 风险分析Risk Analysis（可选）基于攻击性、 脆弱性和对业务的影响，为数据库存在的安全漏洞提供"风险评级"，从而帮助组织机构确定他们修复的优先顺序，从而帮助组织机构设计漏洞补救计划的优先顺序进而确保最直接的威胁得到迅速缓解。

报告和分析

DBP 的报告和分析功能Reporting and Analytics为组织机构提供统一的图表以及深入且详细的报告，提供了在当前环境中各种数据库所存在的漏洞、 威胁和法规遵从性的情况，支持各种筛选和排序，帮助执行者快速确定哪些资源可用以及如何利用这些资源有效地降低风险。Reporting and Analytics提供内置和自定义的法规遵从性报告、风险报告、数据库清单报告、策略报告、用户活动报告。报告可以按计划或自动通过电子邮件发送到相关人员的邮箱。

权限管理

管理用户权限并监视是否出现了违反职责分工的情况是非常重要的，因此，几乎所有的管理法规中都有对此的要求及定义。DBP 的权限管理功能Rights Management提供详细的视图展现一个组织机构中数据的拥有权、访问控制以及对敏感信息的权限等，确保组织机构仅授予用户完成其工作所需的最小权限。

数据库活动监视

DBP 的数据库活动监视包括精确数据库活动监视功能 Precision Database Activity Monitoring (DAM) 和积极响应功能Active Response功能。

Database Activity Monitoring (DAM)通过定义监视策略可以实现对具体的某数据库中的特定事件、特定用户行为、特定数据的监视，细化到列级的监视策略，使组织机构可以只专注于特定的、需要注意的数据库事件。

Active Response可根据可疑或未经授权行为的类型定义自动响应的方式，包括：IT警报、SIEM（安全信息与事件管理） 系统警报、打开故障清单、启动对恶意软件的扫描、阻止可疑的和未经授权的行为。

总结

DBP 可以帮助组织机构更有效地控制的数据库安全流程，使企业能够实现数据库安全、减少风险、并实现法规遵从性。DBP可以支持以下平台：Oracle Database、Microsoft SQL Server、DB2 LUW、DB2 z/OS、Sybase ASE、MySQL Enterprise、Lotus Notes/Domino。