https://event.flydove.net/edm/web/infosecurity01/311626
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

資料庫風險控管不易 讓專業來幫忙

2012 / 04 / 23
吳依恂
資料庫風險控管不易  讓專業來幫忙

儘管過去資料庫安全的議題被視為是小眾族群,不過,在台灣的個資法通過後,也開始慢慢受到企業重視,並針對現有狀況做強化或改善,以因應個資法可能面臨到的資料庫稽核需求。

A銀行的資安人員就談到,企業常會在成本效益的考量之下,又或者有時是引進系統時便綁定某些資料庫,因此在企業內的IT架構中常存在著異質資料庫環境的狀況,並且在各DBA各司其職的狀況下,如果需要負責Sybase的DBA去對另外一種資料庫,如Oracle,下指令以做到符合監控工具的功能,或許可以做得到,但往往會非常辛苦,因為在不同的資料庫之間,乃是採取不同語言的分別。舉例來說,雖然駕駛都會開車,但從開轎車到開卡車仍有其不同訣竅與辛苦之處,很難一下就上手,做到一些高階功能的運用。

庫柏資訊總經理林俊仁就談到,以庫柏過去對資料庫的熟悉程度,不僅可以為企業代管資料庫和主機,同時還能提供資料庫相關的管理顧問服務。他說,資料對企業的重要性在哪?必須符合哪些法規?與哪些系統整合等,各產業有所不同。根據他的經驗看來,過去的資料庫有八成以上都只是在作「查詢」的動作,並且僅有當發生變更時才做記錄,而如今為了因應個資法,並且有保存年限的條件,因此需要監控的資料量也會大增,一般企業在面臨到巨量資料的監控,較沒有經驗,也因此他認為,具有經驗的資料庫安全供應商應能提供豐富的顧問服務、對異質資料庫的掌握和對巨量資料的處理經驗。

此外,A銀行的資安人員也說,在考量資料庫稽核產品時,其他考量因素還包括產品面的因素,包括產品本身對Log證據力的強化,是否可以整合前端資訊,以及預算的考量。

當然,在預算不足或風險控管的考量下,企業仍有可能讓DBA撰寫許多客製化的程式以符合需求,一來必須要有很強的DBA人力,二來也有些企業認為,即使採購解決方案也仍然可能有「不可否認性」的風險存在。A銀行的資安人員就說,如果有適當的解決方案,對DBA來說當然是很方便的工具,不過在個資法尚未有真正判例出現之前,企業主仍有許多考量,持保留態度,因此會多加觀望。只是個資法一旦實施,DBA依然少不了這類解決方案的幫忙。