薄弱的加密措施讓數據庫關鍵信息面臨更多風險。數據庫加密對于關鍵數據的存儲安全性有著巨大的意義,但這種積極意義產生的前提是首先將加密工作做好。隨著數據庫加密部署情況的日益增多,部署效果自然也隨之變得良莠不齊。以下五類數據庫加密部署是專家組們公認的最差實踐方式。為了獲得最理想的安全效益,我們應該盡量避免如下幾類操作失誤。
1、將密鑰保存在錯誤的地方
據安全專家稱,很多人習慣于將加密的數據和密鑰一起存放,這稱得上是數據庫加密工作中的原罪之一。
“如果你在你的數據庫中加密敏感信息,那么千萬不要把加密密鑰或者認證證書同與之相關加密數據存儲在一起。”電氣行業首席安全工程師Luther Martin說道,“一旦發生這種情況,雖然感覺上加密信息是安全的,其實整套體系已經失去了實際意義。”
若想真正地保護好數據,要將密鑰妥善地加以管理;應把它與加密數據、敏感信息密鑰之類,各自區分并存放。
2、密鑰未能集中管理
由于很多企業自身的安保機制較為薄弱,因此隨意將密鑰保存在防范措施不足的地方也就比較常見。
“關鍵問題在于在企業內部,使用大量密鑰和數字簽證的情況廣泛存在”,Venafi的CEO Jeff Hudson說,“研究表明,企業中所管理的認證及密鑰系統少則上千、多則上萬的現象非常普遍。”
很多廠商都銷售加密產品,卻沒有向客戶教授相應的管理應用知識,Hudson說。
“加密技術只是解決方案的一半。IT部門必須掌握監控密鑰并需要了解都誰有權使用密鑰。為了維護整個企業的利益,快速為密鑰部署妥善的保護機制可謂至關重要,”他說。“為了嚴格貫徹訪問控制,職責分離以及策略改善制度,大家需要對自動化監控密鑰和證書管理工作加深理解。”
理論上,為了了解本地密鑰在哪里以及保護這些密鑰的具體方案,企業應當盡可能地集中管理密鑰。
3、依靠自創的方案
IT人士最怕的就是客戶自己搞出一套自創系統,借以節約成本。但他們的利己意識倒不一定是壞事,因為除非你的員工都是具有多年經驗的密碼專家,否則輕易使用自制的加密方案或者密鑰管理系統簡直就是自掘墳墓。
“失敗的自主開發數據庫加密密鑰管理方案的部署,會迫使那些主要經營零售業的廠商轉型為專業型供應商” Protegrity公司的CTO Ulf Mattsson說:“這看起來非常容易但實際上相當危險。”
4、缺乏備份資料加密機制
如果你只對數據庫進行加密,而不對相關數據的備份加以同樣的保護,也會讓你的企業陷入風險當中。
“在我們生活的時代里,磁帶落在后備廂里,筆記本丟了等等所有意外情況都不能成為我們的借口,” 403網絡安全CEO Alan Wlasuk說“為所有數據庫的備份資料進行加密是一件理所當然的事。”
“即使表面上看來毫無價值,也要以00加密格式備份所有數據庫內容,”他說“數據備份最終會存儲在一個意想不到的地方,如果你知道他們是安全的,你也就可以高枕無憂了。”
5、使用過時的加密算法
在去年11月Gawker遭受的重創中,部分原因就是密碼信息慘遭泄露,這些密碼被幾十年未更新過的陳舊加密技術保護著。而這一情況并非特例。許多企業都需要對數據進行加密,但使用的卻是超級老舊的加密方式,這簡直像是在用紙做的盔甲來保護自己的身體。
“多年前使用的中古加密技術系統早就扛不住了” Wlasuk說。企業不僅僅要留心加密數據庫,同樣要關注哪些加密技術已經過時、并迫切需要新的加密算法補充進來。