不久前,“数据库安全”几乎是一种矛盾,但今天,对审计和对客户信息违规进行打击的要求迫使公司不得不高度重视谁访问了敏感数据和他们做了些什么。
那对于安全管理人员来说是个好消息,他们现在越来越受重视,对于数据库安全厂商来说也是个好消息,他们看到了人们对这个现在还很小(一般估计第三方产品少于1亿美元),但正在发展中的市场的越来越多的兴趣。
“这个领域的许多公司在两年里每年翻了一倍,”一个位于Boston的Yankee Group高级分析师Andrew Jaquith说。“在2007年他们很可能再翻一倍。在资金优势方面它是个大领域。”
这个市场包括三种产品:
数据库检测/审计:公司用这些工具来观察未经许可或不寻常的访问活动,并不用消耗数百或上千的人时去细查log文件就可以产生全面的审查报告。这些供应商包括Application Security, Inc.,Embarcadero,Guardium,Imperva,IPLocks. Lumigent technologies,RippleTech,Sentrigo,Symantec和Tizor Systems。“数据库本身并不能智能到能查看通过网络的可疑活动或是否授权用户执行一个命令一百万次,”位于Cambridge的Forrester研究机构的一个首席分析师Noel Yuhanna说道。“这就是为什么你需要有这些工具。”
脆弱性评估:来自于Application Security和Next Generation Software这样的公司的专门的VA扫描器,评估数据库的安全强度,检测安全漏洞和错误配置。
加密:采用集中的管理、策略创建和强大的密钥管理的高度粒状加密。厂商包括Protegrity,Ingrian Networks和Application Security。
增强的安全敏感度拉动了市场的发展,因为违规一个接着一个的揭露出来破坏了客户的信任,还有对有点模糊的调整遵从性检查压力的要求也带动了市场发展。
“单独的最大的驱动是SOX;它改变了公司的审计要求,并且我们看到了一点点的PCI,”位于Stamford 的Gartner 公司的研究副总裁Rich Mogull说。“尽管规范没有明确的说出我们正在谈论的是什么,但是他们最终推动你朝这方向前进。”
“这个基础驱动本身并不做审计,”Jaquith说道。“它有些尴尬,并且有名誉风险。”
数据库平台缺少有力的本地加密、监测、评估和管理工具来满足这些新的安全要求。此外,大型的不同种类的组织经常有多种多样的数据库平台。Oracle和Microsoft SQL Server越来越好,但还有很长的路要走。
“明年有很大空间能看到数据库厂商的更多的活动,或者通过合作,或者只靠他们自己,”位于Framingham的IDC公司的研究主任charles Kolodgy说道。
Yuhanna看到了明确的迹象显示监测和审计市场正在步入下一阶段,既然公司认识到了他们的价值。他期望看到大型公司投资50至100个设备部署。
另一方面,数据库加密技术在解决方案的列表上仍然是相对较低的,尽管对数据被盗和为加密数据解密的关注在大多数情况下违背了批露法。尽管改进了工具,部署和管理却仍然很困难。分析家警告说数据库加密是一个两三年的事情。遗留系统尤为严重。
“数据库加密技术是人们购物列表上的第三项,”但是市场将继续发展,Kolodgy说道。“没有人靠异想天开来加密。要很清楚的了解需求;要有很清楚的描述。”
“我会说只有5%在做数据库级别的加密,”Yuhanna说道。“它太困难了。”
执行加密的很重要的一部分是选择,要了解需要保护什么。你可以加密用户的信用卡和社会安全号码,但要以纯文本的形式显示姓名和地址。
分析家们在建议方面意见有些不同,但是一般推荐积极监测,这会得到最大的投资回报率。再有推荐选择域级别的加密。
“确定你有什么类型的敏感数据,什么类型的数据库和有多少,”Jaquith说道。“简单的四处看看和查询数据库是有用的,但是你需要实证。利用扫描工具来探测你的数据,指出什么是敏感的。”
“敏感的用户信息就像是石棉一样,”他说。“我们很多年都在盖储存它的房子,但直到最近空运的时候才发现它的毒性。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
不安全的Firebase数据库使关键数据面临风险
当开发人员无法对支持其移动应用程序的数据库或云实例执行身份验证时,这里会发生一种最简单且最具破坏性的安全事件。 […]
-
未来企业数据安全威胁及保护措施
Raluca Ada Popa是加州大学伯克利分校电子工程和计算机科学系助理教授,也是该学院RISELab的联 […]
-
美新数据安全法案:故意隐瞒数据泄漏将获罪
美国民主党参议员重新提出了“数据安全和数据泄露事故通知法案,该法案规定对未能向消费者披露泄漏事故的企业高管进行严格惩罚,甚至监禁。
-
如何处理仍未解决的MongoDB安全问题?
有关MongoDB尚未解决的安全隐患是什么?在补丁可用之前,企业可以采取哪些措施以缓解这些威胁?