目前, 安全功能特性越来越多地被内建在网络设备之中。这也就意味着这样的产品可以“看到”你网络上的流量情况,并控制一些信息或数据传送。
你可以把你的数据库放到一个子网络或者虚拟LAN上,只允许来自同一VLAN上的访问连接。为此,你也需要做仔细的架构设计,以便让你的Web服务器对于外部世界以及VLAN来说都是可见的。当然,采取这些措施将会把很多东西紧紧锁住,以致你必须保持持续的警惕性,来确保需要修改数据库或其环境的所有用户能够持续访问。
你也可以使用网络IPS(入侵防御系统)来监测恶意的信息流,在它们进入你的网络之前将其阻断。需要指出的是,表面看起来你的安全架构中的其他部分都可以从IPS中获益,所以有的人觉得实现一个IPS就好了。殊不知,显然网络IPS并不能保护你的数据,同样也不能防止被误导的或者搞恶作剧的员工。不过它可以通过保护对数据有直接访问权限的计算机网络来间接地保护这些数据,虽然不像直接地保护那么有效,但主机IPS能够对同一网络上连接的机器提供保护,也可以当作另一种不同级别的保护,还是很值得考虑的。
举例来说,大家对一个特定的表格——“客户”——具有受限制的访问权限,只有那些拥有正当理由的人可以看到这些数据。仍然存在的问题是:他们有什么正当理由?你怎么针对滥用进行管理?如果销售经理有权访问完整的客户数据库,而某一个非销售人员偷学到了登陆方式,你怎么阻止这个人把数据从数据库中读取出来?不可否认有一些工具可以将这个潜在的损失降到最低,但是目前市场上还没有哪一款工具是足够成熟到可以完全组织这种类型的“攻击”。
尽管一些厂商也在努力地开发着一些解决方案,如限制一次查询返回的行数;或者对给定用户的正规行为定型,严格禁止正规行为之外的任何行为。这些方案多少有些离谱,企业用户需要的是能够对使用权限设定一些政策,而员工端必须是能够无拘无束访问完成工作所需要的数据。
因此问题并不是如此多的数据保护,而是其他两个领域的可能问题的结合,即人力资源和入侵防护。简单地说,员工也可能抽取一些数据谋私利。这种潜在的危险应该由人力资源首先控制,也就是说在将敏感数据的访问权给予一个员工或外部承包合同人之前就应该考虑到这个问题。IPS和防病毒解决方案能够帮助你来确保,使用一个员工账号访问数据的人是员工本人。
最后是ILP(信息泄漏防护),它包含的工具可以决定哪些数据正在超越网络的界限,并阻止不应该泄漏的数据。
ILP产品试图组织关键数据泄漏出网络之外。但是由于这些产品相对还是新型产品,走向仍然不明确。通常来说,这些产品驻留在网络中,监测使用者的动作,并试图确定是不是有人在将知识产权或客户数据传输到网络外。在监测模式下,它们会将什么人在传输数据以及传输到哪里等信息通报给网络管理人员;在保护模式下,它们会阻止信息传送,然后发送通知给网络管理人员。当然,这些系统不仅仅是防护使用者的非法行为;它们自身也并不关心泄漏的资源是什么,只是确定有信息泄漏。这使得它们至少能有效防范以客户或IP数据为目标的特洛伊木马。
