數(shù)據(jù)庫是計算機應用系統(tǒng)中的一種專門管理數(shù)據(jù)庫資源的系統(tǒng)。數(shù)據(jù)具有多種形式，如文字/數(shù)碼/符號/圖形/圖象以及聲音。數(shù)據(jù)庫系統(tǒng)立足于數(shù)據(jù)本身的管理，將所有的數(shù)據(jù)保存于數(shù)據(jù)庫中，進行科學地組織，借助于數(shù)據(jù)庫管理系統(tǒng)，并以此為中介，與各種應用程序或應用系統(tǒng)接口，使之能方便地使用并管理數(shù)據(jù)庫中的數(shù)據(jù)，如數(shù)據(jù)查詢/添加/刪除/修改等。

數(shù)據(jù)庫是任何商業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的商業(yè)伙伴和客戶信息，這些信息需要被保護起來，以防止競爭者和其他非法者獲取。

很多企業(yè)都花費很多精力保護敏感信息免受外部攻擊者攻擊，但是他們卻忽視了對數(shù)據(jù)庫最具威脅的：授權(quán)用戶。

“企業(yè)都很少關(guān)注他們的生產(chǎn)數(shù)據(jù)，這讓我很驚訝，”數(shù)據(jù)庫咨詢公司Pine Horse的所有者James Koopmann表示，“他們幾乎允許任何人插入共享軟件、免費軟件和演示工具來訪問重要生產(chǎn)數(shù)據(jù)，而不擔心數(shù)據(jù)可能被更改、檢索或者刪除。”

根據(jù)最新的數(shù)據(jù)庫安全報告顯示，主要存在五個因素可能導致數(shù)據(jù)庫泄露：忽視、糟糕的密碼管理、共享賬戶、不受限制的數(shù)據(jù)訪問以及過度的數(shù)據(jù)可移動性。

首先是缺乏安全教育。在2009安全調(diào)查中，要求受訪者對采用的不同安全強化方式所花費的時間進行選擇，結(jié)果發(fā)現(xiàn)，用戶培訓被排在第九位(共十位)，僅次于日志文件分析。在CompTIA第七次年度信息安全趨勢報告中發(fā)現(xiàn)，接受調(diào)查的企業(yè)中有85%企業(yè)表示，對非IT人員進行安全培訓明顯改善了數(shù)據(jù)泄漏問題。

安全培訓的目的必須是確保數(shù)據(jù)庫工作人員能夠弄清楚他們處理的數(shù)據(jù)的重要性和價值，這樣他們對待工作就會更加謹慎。

糟糕的密碼管理是另一個常見問題。不管是IT部門允許數(shù)據(jù)庫用戶設置簡單好記的密碼，還是他們制定復雜的密碼，讓員工不得不把密碼寫下來貼在顯示器上。

“我們?yōu)閿?shù)據(jù)庫用戶設計的密碼既不能簡單好記，又不能太復雜，以保護系統(tǒng)免受外部攻擊者攻擊，”數(shù)據(jù)庫咨詢公司Open Data Systems的首席執(zhí)行官George Jucan。

賬戶共享也同樣會帶來安全問題。有些用戶會借用他們同事的登陸憑證，還有些人會通過高級別的應用程序服務器登陸憑證來獲取數(shù)據(jù)訪問權(quán)限，甚至還有可能在沒有留下任何線索的情況下訪問數(shù)據(jù)庫，這種時候，日志文件分析也發(fā)揮不了作用了。

無限制的數(shù)據(jù)訪問是另一個問題，在很多情況下，員工通常能夠訪問他們工作所沒有涉及的信息。

“現(xiàn)在大多數(shù)數(shù)據(jù)庫都能夠提供基于角色的訪問權(quán)限設置，但是很少有公司會利用這個功能，”Jucan表示，“如果有人甚至沒有看到數(shù)據(jù)庫中存在的某些數(shù)據(jù)，也就不會帶來后顧之憂?！?/P>

企業(yè)們還應該考慮數(shù)據(jù)屏蔽技術(shù)來限制用戶對重要數(shù)據(jù)與合規(guī)數(shù)據(jù)資產(chǎn)(如社會安全號)的訪問，在不影響用戶完成本職工作的情況下。

最后，可以仔細看看保護數(shù)據(jù)的技術(shù)和做法，因為現(xiàn)在數(shù)據(jù)越來越便于攜帶，當前企業(yè)面臨的最大威脅就是授權(quán)用戶可以很簡單地從數(shù)據(jù)庫下載大量數(shù)據(jù)到電子表、筆記本或者便攜式存儲設備中。專家表示，有很多工具可以幫助保護便攜式數(shù)據(jù)，如數(shù)據(jù)庫活動監(jiān)控、數(shù)據(jù)丟失防護和加密等。