資料外洩的防護方式,過去我們所熟知的主要有下列幾種,包括周邊裝置控管、網路過濾、E-DRM文件安全控管,一直到資訊內容的附加標記、解析、辨識、比對,最近這幾年,程式碼檢測與對資料庫存取的稽核也開始受到重視。

在商用領域,資料庫應用系統是相當普遍的軟體形式,不論是前端程式直接連至資料庫檔案的單層架構或關聯式資料庫的主從式架構,或是透過中介軟體/應用程式伺服器連至關聯式資料庫的分散式架構,「資料庫」都是應用程式存取資料的主要來源。

因此若要全面提升應用程式的安全,不只是要注意程式碼的撰寫和檢測,專門負責儲存整個應用系統資料的資料庫,同樣不容忽視。

你可能會想到,應該先從強化資料庫管理系統的安全性開始著手,例如作好資料庫系統本身的弱點管理,定期更新、修補資料庫的漏洞,管制好資料庫使用者的帳號、密碼和存取權限,並且啟動資料加密與傳輸加密的機制,同時做到資料庫日常作業監控與稽核。

隨著資料庫系統不斷改版,這些需求其實大多已經是資料庫內建功能,但實務上並沒有完全應用,例如管理人員擔心稽核記錄功能一啟用,可能會嚴重影響資料存取的效能;另外,應用程式存取資料庫時,以共用的資料庫使用者帳號登入是相當普遍的現象,因此要靠資料庫系統的記錄檔來追蹤使用者的真實身分,會相當困難。

對許多網路與資安系統來說,作好預防、自動發現異常與警示,到統計分析、查詢異常事件等工作,都是必備的功能,但對資料庫而言,單靠內建系統功能與管理人員投入人力與時間來完成這些工作,並不容易。假如企業的資料庫系統不只一種廠牌/平臺,目前也幾乎無法透過單一管理介面來統籌安控工作。

而且隨著企業對於資料存取的稽核與數位鑑識需求的提升,資料庫系統所保管的記錄內容能否具有足夠的完整性、不可否認性?我們也許可以搭配入侵防護系統、網路應用程式防火牆,來阻擋非法竄改或是使用者帳號遭到冒用,但如何能避免、發現與阻止合法使用者、資料庫管理者的這類濫權行為?

這麼一來,恐怕只能透過專屬的產品、甚至是軟硬體整合的資料庫安全稽核產品,來面對這樣的問題。(請見24頁)

本週與資訊安全相關的另一事件是,根據Windows Shell的lnk捷徑檔的漏洞所發展出來的惡意程式似乎有越演越烈的趨勢,微軟已緊急釋出捷徑漏洞修補工具。(請見14頁)

在這種攻擊下,當使用者打開內藏惡意程式碼的捷徑檔的USB隨身碟或網路共享資料夾時,自動載入遠端的惡意程式(可參考微軟Security Advisory編號2286198的說明)。此外,資安廠商也發現名為Stuxnet的惡意程式,已經利用這種方式開始散播,這隻程式還會以驅動程式的形式注入Windows,而資安廠商也發現驅動程式包含瑞昱半導體(Realtek)、智微科技(JMicron)所發布的程式碼數位簽章,以便滲透OS的防護。

我們最近也造訪了全臺首座同時結合下吹式與水平式空調系統機房。這是由宏碁電子化資訊管理中心所打造的,單一機櫃最高可承受30kW制冷力,換句話說,等於可同時承載10座IBM刀鋒機箱,單一機櫃最多可承載120臺刀鋒運算模組。

這座機房的出入口用PVC條狀窗簾來隔絕冷熱通道,同時在地板上安裝大型的蜂巢板來提高下吹式冷氣的出風量,並在機櫃間架設水平式空調主機。(請見16頁)

作者簡介


Advertisement

更多 iThome相關內容