一、部署加密软件,防范内网数据泄密

Verizon公司安全与风险副总裁Bryan Sartin称，在这些数据盗窃事件中，基本上都是黑客组织Anonymous以及其分支组织所为。他具体解释到，在数据盗窃事件中，至少有四分之三的数据窃取事件都是黑客组织Anonymous所为，而其中的一个分支组织LulzSec甚至发布消息自称是黑客界的罗马军团。

Verizon分析师在报告中称，虽然黑客行为不是一个新的现象，但是黑客已经不再局限于20世纪90年代仅仅毁坏网站，而不是窃取海量数据。黑客们如今的动向都转向最具破坏性的盗窃用户数据方面发展。最具典型的例子莫不过就是黑客组织Anonymous分支机构LulzSec，LulzSec曾攻击美国中央情报局、福克斯、索尼和多家金融机构的网站，在损失成千上万用户数据的同时，也使这些公司蒙受数十亿美元的损失。最后：报告中还显示，如今的黑客组织已经瞄准更大的组织或机构，开始寻求宣传自己，而不像过去默默无闻“耕耘”，他们的目标也转向盈利好的公司。此外他们的攻击技术手段也多样化、战术化，因此未来全球信息安全形势将变得越来越复杂和严峻。

如今的风险环境充斥着各种新旧不同的风险和漏洞。有些最大的风险在过去的几年中并没有什么变化。许多风险仍在肆虐，给敏感信息造成极大的威胁和巨大的破坏成本。其中，数据库安全风险一直是业界关注的重点。企业面临的数据库风险将有增无减。数据库越来越容易遭到攻击有两方面原因：

首先，公司被要求越来越多地增加对存储在数据库中数据的访问。增加的数据访问极大地增加了数据被窃取和滥用的风险。要求访问数据的人员包括内部雇员、审计人员、承包商、分包商、供应链的合作伙伴等。

其次，数据库攻击者已经发生了变化。过去，攻击者的目的是为了炫耀其才能，虽然意图并不高尚，但很少造成数据失窃。如今，攻击者的动机往往是经济上的，有时与政治或意识形态有关。攻击者有组织并且死心塌地地寻求可以使其发财的信息，如知识产权、信用卡号、个人身份证号、政府机密等私密信息。

在考虑到这些风险后，企业需要一种可以清除漏洞、定位敏感数据、确认用户访问、监视数据库活动的安全策略，而且能在数据库水平上减轻风险。从历史上看，企业将工作的重点放在外围安全和外部攻击上，投资购买了防火墙、反病毒软件，并确保路由器的配置安全等。虽然这些投资很有必要，但对于阻止针对数据库的直接攻击却收效甚微。如果不阻击这些攻击，就会搞垮公司。调查发现，现代的数据库攻击所造成的单位成本比以往任何攻击都要巨大。而修复数据库损害的花费更是越来越高。在这种环境中，企业必须保护自己免受最高风险的危害，并重视保护数据库免受各种新出现风险的破坏。

经常进行用户权利的检查可以使审计人员、IT顾问等知道企业的数据所有权、访问控制、对敏感信息的权利等详细信息。这个过程可以使企业确立有效的责任分离制度，更好地满足合规要求。监视责任的分离变得日益重要。适当的访问权限是一个关键的信息安全问题，责任分离的控制是合规要求的一个基本原则。为确保这些无意的违反不会发生，企业应当将关键的保护从网络和Web应用程序层扩展到数据库。常规的数据库安全评估包括审计和渗透测试，而且应当执行错误配置的检查，以尽量减少这些风险。此外，还可以实施活动监视，以保证不会无意下载或传输敏感数据。

在不少企业，很多人可以访问需要特定权限才能访问的数据。或者，雇员拥有过高的权限，可被用于访问敏感数据。从本质上讲，公司网络上的通道越多，利用网络访问点的机会就越多，企业就更容易遭到攻击。

在任何企业中，知道最敏感的数据在哪里至关重要。首要的一步是全面分析哪些用户可以访问每个系统，他们可以访问哪些数据和功能，根据用户的业务功能验证用户是否被授予了适当的访问水平。具有前瞻性思维的企业必须主动地实施用户权利的最佳实践，确保将数据的适当访问和所有权分配给机密数据。如果不执行全面的用户权利检查，就会增加企业的数据访问被滥用的风险，并增加不遵守合规要求的风险。

对关键系统建立强健的基于策略的访问和活动监视可以阻止内部人员攻击。活动监视和审计提供对可疑活动的警告功能，从而可以对可疑活动及时采取行动。数据库安全解决方案允许IT和安全人根据不同的活动类型设置不同的警告级别，可以用不同的格式智能地过滤这些警告，并根据预先定义的策略来定义用户组或个人。管理员应当为插入、更新、删除等命令创建存储过程。在存储过程中，管理员可以将一条记录插入到日志表中，要记录所需要的细节。管理员可以用存储过程来撤销对数据库表的插入、更新、删除等语句。注意，属于特定角色（如db_owner）的任何人仍能够直接对表进行操作。管理员还应当对表的更新、插入、删除等建立触发器。在触发器中，可以将任何东西记录到日志表中。通过此法，可以将所有的数据修改操作记录下来，而不管其实现方式（直接的SQL语句或通过存储过程）。