https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

管理最高權限使用者 資料庫也要縱深防禦的安全

2010 / 08 / 09
張維君
管理最高權限使用者 資料庫也要縱深防禦的安全

隨著個資保護的議題在市場上加溫,而個資外洩最大問題又與內部人員有關,連帶使資料庫安全問題受到重視。在日前一場資料庫安全研討會中,國巨律師事務所朱瑞陽律師指出在許多事件中,個人資料都是疑似被合法權限使用者違反業務目的而存取資料庫,因此資料庫存取使用的目的需要被清楚定義,並稽核管理。而目前許多企業都已經有作基本的資料庫日誌管理,但如果這些日誌沒有被加上簽章,就有被竄改的可能,因此就算留了Log可能也沒有用。

此外,資料庫安全解決方案技術顧問也指出,過去某政府機關也曾發生與民眾服務相關的應用系統接二連三發生掉資料、報表不正確的情形,經查才發現,是當初系統開發委外廠商留了一個後門,而某位與廠商有糾紛的工程師,為了報復該廠商,事後透過遠端連線,用資料庫系統管理者的身分進入該系統,並植入木馬程式,才使該程式不斷在系統內砍資料。

然而並不是每個案子都能順利追查出問題,存心犯案的歹徒也一定會透過跳板入侵系統以藏匿行蹤,因此強化資料庫的縱深防禦安全,做到事前預防是重要關鍵系統保護的不二法門。