运用加密技术保护数据库是一项基本的信息安全最佳实践,也是受合规遵从指令影响的信息的一个要求。然而,主数据存储以外的地方(如临时文件、提取-转换-加载 (ETL) 数据、调试文件、日志文件和其他次要来源)也存在未加密的数据。许多企业甚至没有意识到自身
运用加密技术保护是一项基本的信息安全最佳实践,也是受合规遵从指令影响的信息的一个要求。然而,主数据存储以外的地方(如临时文件、提取-转换-加载 (etl) 数据、调试文件、日志文件和其他次要来源)也存在未加密的数据。许多企业甚至没有意识到自身网络中可能存有这类未加密的敏感数据。根据 verizon payment card industry compliance report,之外的未加密数据常常遭到黑客窃取,因为这些数据十分容易获得。在思考如何保护 ibm db2 数据时,绝大部分企业都很清楚需要加密 db2 表空间和数据库活动监控。不过,人们往往会忽略对数据库内部信息以外的数据库周边信息的保护。虽然仅对数据库本身进行加密似乎足以保护 db2 内部的静态数据,但企业还需要考虑可能存在敏感数据的其他数据库周边位置。
其中许多位置并不在数据库管理员 (DBA) 的直接控制之下。例如,数据库脚本通常包含用于访问数据库的用户名和密码。如果数据库损坏,那么这些类型的文件可能会产生数据库漏洞。
另一项风险在于 DB2 的外部文件行为。DB2 错误等行为可能会生成包含敏感数据的跟踪文件或警报日志。举例来说,DB2 以外的一些敏感数据位置包括目录文件、事务日志以及包含诊断日志、报告、导出文件、ETL 数据和脚本的外部文件(参见图 1)。
图 1. 可能包含敏感信息的 IBM DB2 相关文件
图片文字:
Catalog Files:目录文件
Tablespaces:表空间
User:用户
System:系统
TEMP:TEMP
Transaction logs:事务日志
Online:在线
Archive:存档
External files:外部文件
Operates on database:数据库上的操作
Diagnostic logs:诊断日志
Reports:报告
Exports:导出文件
Backups:备份
Scripts:脚本
下面是一份包含所有外部 DB2 文件和子类型文件的名单,同时还介绍了它们提供的功能,以及它们为什么应当受到保护。
目录文件
通常情况下,这些配置文件用于定义与数据库相关的 IBM DB2 初始化参数。其中包含诸如数据库名称和所用的端口等信息。如果配置信息被认定为敏感信息,那么系统就会对其进行保护。
