研究表明 企业数据库仍旧缺乏足够保护

位于密歇根州Elk Rapids的数据安全和私人研究组织The Ponemon Institute，再对659家IT专家进行调查，询问他们是否保护数据以及对可疑活动进行监控。其中大约有40%的企业运行Microsoft SQL Server数据库。

　　这项研究报告，题为"数据库安全2007：IT数据库架构中的威胁和优先级"，在这个月早些时候发布。

　　"那些无力保护自己数据的组织机构被证明很容易成为袭击的目标，并且经常于损坏他们声誉的损失作斗争，"Ponemon Institute的创始人和主席Larry Ponemon说。

　　Ponemon说在被调查的IT部门中大约40%的人说他们没有监控数据库中的可疑活动，他们也不确定是否有人监控数据库。

　　这项调查询问IT经理在他们的企业中哪种类型的数据被列为最重要的。这些经理说知识产群是最重要的，其实是商业机密数据，客户和消费者数据，列在最后的是员工的数据。

　　接受调查的人被要求将他们的优先级进行排序，但是这项研究并没有给出这些类别所在百分比的不同。

　　Ponemon说他很惊讶这些IT企业并没有将保护客户的数据列为优先级很高。"当你考虑到影响客户数据和负面名声的违规案例的数量，你会认为公司应该吸取这个教训，"他说。

　　"客户数据应该被和知识产群得到同等的待遇，"他补充。"一旦这个情况发生，我认为你会看到违规的数量的严重程度会得到降低。"

　　这项研究显示，对于一些IT部门，对客户数据的保护被迫排在后面，因为在收紧预算的情况下其他竞争的优先事件。同时，日常的业务需求可能强迫IT部门将精力放在升级现有的应用、提供运行效率和系统优化上，而不是建立更安全的环境，这项调查结果称。

　　一位已经开发了数据安全计划的IT负责人叫做Paul Wilson，是马塞诸塞州Lexington的Gomez Inc的数据库技术主任。他的公司有70个Microsoft SQL Server 2005站点，和被全球的客户使用的130个数据库需要管理和监控在线应用性能。

　　"关于安全我们的最大的步骤是保证数据库和Internet之间完全被防火墙隔开，"Wilson说，补充说避免从Internet的之间连接是关键，Internet上很容易发起攻击。

　　并且，Gomez说他的客户需要访问一些Web Server来获得他们需要的数据。

　　即使数据并没有得到监控，其他的公司也知道企业数据是重要的。Ponemon的研究表明53%的IT经理将企业数据视为对公司非常"关键"，并且还有25%认为是"重要的"。只有2%的公司表示他们的数据库对业务不重要。

　　对于Gomez而言，数据库就是业务，因此他的公司必须保护它们，并且这个业务依赖于对它的保护，他说。Gomez创建自己的应用来监控数据库的访问和数据使用，当不恰当发生的时候会发出警报。

　　New York的一家安全软件公司，Application Security，资助该项研究，但是这个公司并没有介入到调查开发中，Ponemon说，也没有分析结果。