資料庫風險控管不易 讓專業來幫忙

儘管過去資料庫安全的議題被視為是小眾族群，不過，在台灣的個資法通過後，也開始慢慢受到企業重視，並針對現有狀況做強化或改善，以因應個資法可能面臨到的資料庫稽核需求。

A銀行的資安人員就談到，企業常會在成本效益的考量之下，又或者有時是引進系統時便綁定某些資料庫，因此在企業內的IT架構中常存在著異質資料庫環境的狀況，並且在各DBA各司其職的狀況下，如果需要負責Sybase的DBA去對另外一種資料庫，如Oracle，下指令以做到符合監控工具的功能，或許可以做得到，但往往會非常辛苦，因為在不同的資料庫之間，乃是採取不同語言的分別。舉例來說，雖然駕駛都會開車，但從開轎車到開卡車仍有其不同訣竅與辛苦之處，很難一下就上手，做到一些高階功能的運用。

庫柏資訊總經理林俊仁就談到，以庫柏過去對資料庫的熟悉程度，不僅可以為企業代管資料庫和主機，同時還能提供資料庫相關的管理顧問服務。他說，資料對企業的重要性在哪？必須符合哪些法規？與哪些系統整合等，各產業有所不同。根據他的經驗看來，過去的資料庫有八成以上都只是在作「查詢」的動作，並且僅有當發生變更時才做記錄，而如今為了因應個資法，並且有保存年限的條件，因此需要監控的資料量也會大增，一般企業在面臨到巨量資料的監控，較沒有經驗，也因此他認為，具有經驗的資料庫安全供應商應能提供豐富的顧問服務、對異質資料庫的掌握和對巨量資料的處理經驗。

此外，A銀行的資安人員也說，在考量資料庫稽核產品時，其他考量因素還包括產品面的因素，包括產品本身對Log證據力的強化，是否可以整合前端資訊，以及預算的考量。

當然，在預算不足或風險控管的考量下，企業仍有可能讓DBA撰寫許多客製化的程式以符合需求，一來必須要有很強的DBA人力，二來也有些企業認為，即使採購解決方案也仍然可能有「不可否認性」的風險存在。A銀行的資安人員就說，如果有適當的解決方案，對DBA來說當然是很方便的工具，不過在個資法尚未有真正判例出現之前，企業主仍有許多考量，持保留態度，因此會多加觀望。只是個資法一旦實施，DBA依然少不了這類解決方案的幫忙。