目前, 安全功能特性越來越多地被內建在網絡設備之中。這也就意味著這樣的產品可以“看到”你網絡上的流量情況,并控制一些信息或數據傳送。
你可以把你的數據庫放到一個子網絡或者虛擬LAN上,只允許來自同一VLAN上的訪問連接。為此,你也需要做仔細的架構設計,以便讓你的Web服務器對于外部世界以及VLAN來說都是可見的。當然,采取這些措施將會把很多東西緊緊鎖住,以致你必須保持持續的警惕性,來確保需要修改數據庫或其環境的所有用戶能夠持續訪問。
你也可以使用網絡IPS(入侵防御系統)來監測惡意的信息流,在它們進入你的網絡之前將其阻斷。需要指出的是,表面看起來你的安全架構中的其他部分都可以從IPS中獲益,所以有的人覺得實現一個IPS就好了。殊不知,顯然網絡IPS并不能保護你的數據,同樣也不能防止被誤導的或者搞惡作劇的員工。不過它可以通過保護對數據有直接訪問權限的計算機網絡來間接地保護這些數據,雖然不像直接地保護那么有效,但主機IPS能夠對同一網絡上連接的機器提供保護,也可以當作另一種不同級別的保護,還是很值得考慮的。
舉例來說,大家對一個特定的表格——“客戶”——具有受限制的訪問權限,只有那些擁有正當理由的人可以看到這些數據。仍然存在的問題是:他們有什么正當理由?你怎么針對濫用進行管理?如果銷售經理有權訪問完整的客戶數據庫,而某一個非銷售人員偷學到了登陸方式,你怎么阻止這個人把數據從數據庫中讀取出來?不可否認有一些工具可以將這個潛在的損失降到最低,但是目前市場上還沒有哪一款工具是足夠成熟到可以完全組織這種類型的“攻擊”。
盡管一些廠商也在努力地開發著一些解決方案,如限制一次查詢返回的行數;或者對給定用戶的正規行為定型,嚴格禁止正規行為之外的任何行為。這些方案多少有些離譜,企業用戶需要的是能夠對使用權限設定一些政策,而員工端必須是能夠無拘無束訪問完成工作所需要的數據。
因此問題并不是如此多的數據保護,而是其他兩個領域的可能問題的結合,即人力資源和入侵防護。簡單地說,員工也可能抽取一些數據謀私利。這種潛在的危險應該由人力資源首先控制,也就是說在將敏感數據的訪問權給予一個員工或外部承包合同人之前就應該考慮到這個問題。IPS和防病毒解決方案能夠幫助你來確保,使用一個員工賬號訪問數據的人是員工本人。
最后是ILP(信息泄漏防護),它包含的工具可以決定哪些數據正在超越網絡的界限,并阻止不應該泄漏的數據。
ILP產品試圖組織關鍵數據泄漏出網絡之外。但是由于這些產品相對還是新型產品,走向仍然不明確。通常來說,這些產品駐留在網絡中,監測使用者的動作,并試圖確定是不是有人在將知識產權或客戶數據傳輸到網絡外。在監測模式下,它們會將什么人在傳輸數據以及傳輸到哪里等信息通報給網絡管理人員;在保護模式下,它們會阻止信息傳送,然后發送通知給網絡管理人員。當然,這些系統不僅僅是防護使用者的非法行為;它們自身也并不關心泄漏的資源是什么,只是確定有信息泄漏。這使得它們至少能有效防范以客戶或IP數據為目標的特洛伊木馬。
