数据泄露 迫使企业增加数据库安全需求

不久之前，"数据库安全"几乎还是一个矛盾的词汇。但如今，随着严格的审计制度以及客户信息被泄露的事件增加，迫使企业必须认真关注谁访问了敏感的数据以及他们用这些敏感的数据做了什么。

　　这对现在越来越受到董事会关注的安全经理是一个好消息，对于那些对数据库安全市场越来越感兴趣的厂商也是一个好消息。一般认为，第三方产品的数据库安全市场仍然很小，规模还不到1亿美元。但是，这个市场正在增长。

　　市场研究公司Yankee Group的高级分析师Andrew Jaquith说，这个领域的许多企业在过去两年里的年增长率都超过了100%。他们在2007年的收入可能还会增长一倍，这是很多公司都在考虑并优先考虑投资的一个巨大的领域。

　　数据库安全市场包含三类产品：

　　·数据库监视/审计：企业使用这种产品监视未经授权或者异常的访问活动并且生成一个全面的审计报告，不需要耗费数百甚至数千个工时查阅记录。这类产品的厂商包括Application Security、Embarcadero、Guardium、Imperva、IPLocks、Lumigent technologies、RippleTech、Sentrigo、赛门铁克和Tizor Systems。市场研究公司Forrester Research主要分析师Noel Yuhanna称，数据库本身的智能程度还不能看到线路上的可疑活动，或者看到一个授权用户是否在数百万次地执行一个指令。这就是你为什么必须要有这些工具的原因。

　　·安全漏洞评估：Application Security和Next Generation软件公司提供的专业安全漏洞评估扫描器，能够评估数据库的安全能力，检测安全漏洞和错误配置。

　　·加密：使用集中的管理和政策以及强大的口令管理进行高度精的加密。这个领域的厂商包括Protegrity、Ingrian Networks和Application Security。

　　随着一个接一个地曝光的安全泄露事件伤害了消费者信心以及要求十分严格但仍含糊不清的管理规定的压力，企业需要增强安全敏感性。这种需求推动了数据库安全市场的增长。

　　市场研究公司Gartner副总裁Rich Mogull说，这个市场最大的推动因素是SOX，它改变了对企业的审计要求。我们看到的来自支付卡行业的推动作用很小，虽然这些规定没有具体指明我们谈论的东西，但是，这些规定确实为你指明了这个方向。

　　Yankee Group高级分析师Jaquith说，基本的推动因素并不是审计人员本身，而是企业的声誉的风险。

　　数据库平台缺少本地的强大的加密、监视、评估和管理工具来满足这些新的安全要求。而且，大型的多种业务的机构通常有多个数据库平台。甲骨文和微软SQL服务器的质量正在越来越好。但是，它们仍有很长的路要走。

　　市场研究公司IDC的研究经理Charles Kolodgy说，数据库厂商明年在这个领域还有很大的活动空间。数据库厂商可以采取合作方式，也可以自己做。

　　Forrester Research分析师Yuhanna称，有明显的迹象表明监视和审计市场正在提高到一个新的水平，因为企业现在相信这些市场的价值。他预计大型企业将投资配置50台至100台这种设备。

　　另一方面，尽管人们担心数据被窃和信息泄漏有关的法律都免除加密数据的责任，数据库加密在解决方案的列表中仍排在相对低的位置。虽然加密工具已经改善了，但是，这种工具仍然很难应用和管理。分析师谨慎地指出，数据库加密是一种需要花费2至3年去实施的项目，尤其是在一些老实的机器上。

　　Kolodgy说，数据库加密在人们购买安全产品列表中仅排在第三位。尽管这个市场将继续增长，没有人能够一次就完成加密。这必须要有一个对需要的明确理解和清楚的说明。

　　Yuhanna说，只有5%的人在数据库级进行加密作业，这个对一般用户实在太难实现。

　　实施加密的一个重要部分是选择性，了解什么需要保护。例如，你可以加密用户的信用卡和社会保险号码，对于名字和地址不加密。

　　分析师们提出的建议有些不同。但是，他们一般都认为监视能够得到最大的投资回报。他们还建议选择字段加密方式。

　　Jaquith说，你要确定你有什么类型的敏感信息、你的数据库类型和数量。简单地查看一下和查询一下数据库是有帮助的。但这需要有丰富的经验支持你去使用扫描工具调查你的数据库并且找出什么是敏感的数据。

　　敏感的客户数据就像是石棉。我们多年以来建造房屋的时候一直使用它。但是，我们最近才发现如果它散布在空气中，它会使人中毒。