重视IT安全中的数据库安全

在2009年的时候，SANS发表过一篇白皮书——《Making Database Security an IT Security Priority》。该文档系统性的分析了数据库安全面临的挑战，以及重视数据库安全的必要性，提出数据库安全策略在制定企业/组织的IT安全策略中处于优先位置。

在分析挑战的时候，作者引述了DBIR2009的数据：有30% 的信息破坏事件是针对数据库的，位居第二；从泄露的数据量来看，75%都是来自于数据库，远高于第二位的应用服务器（19%）。

文档还给出了数据库安全策略要考虑的内容，包括：

1）访问控制；

 

2）加密；

3）审计；

4）环境分离；

 

5）安全配置（默认帐号、用户和角色、密码、补丁、特权与许可、参数设置、配置文件、审计配置、Listener安全）

【参考】

Verizon发布2011年数据破坏调查报告

Verizon发布2010年数据破坏调查报告