在2009年的时候,SANS发表过一篇白皮书——《Making Database Security an IT Security Priority》。该文档系统性的分析了数据库安全面临的挑战,以及重视数据库安全的必要性,提出数据库安全策略在制定企业/组织的IT安全策略中处于优先位置。

在分析挑战的时候,作者引述了DBIR2009的数据:有30% 的信息破坏事件是针对数据库的,位居第二;从泄露的数据量来看,75%都是来自于数据库,远高于第二位的应用服务器(19%)。

文档还给出了数据库安全策略要考虑的内容,包括:

1)访问控制;

 

重视IT安全中的数据库安全_第1张图片

2)加密;

3)审计;

4)环境分离;

 

重视IT安全中的数据库安全_第2张图片

5)安全配置(默认帐号、用户和角色、密码、补丁、特权与许可、参数设置、配置文件、审计配置、Listener安全)

【参考】

Verizon发布2011年数据破坏调查报告

Verizon发布2010年数据破坏调查报告