【IT168调查报告】随着IT对企业业务影响的越来越深入,企业所面临的安全问题也日益突出,数据安全成了企业CIO们关注的热点之一。对数据库的安全审计也成了企业保障数据安全不可获缺的重要一环。2011年6月,我们针对企业CIO、项目经理、DBA等200多位企业IT专业人员进行了数据库安全审计用户需求调查。在我们收集到的超过200份的调查问卷中,超过40%的企业用户认为数据库面临的最主要的安全问题是内部人员的违规操作。
▲点击这里下载报告的PDF版本
本次调查主要结论:
1、 超过80%的被调查企业用户认为内部人员的违规操作是目前数据库面临的最主要的安全问题;
2、 在最有价值的数据库安全产品调查中,数据灾备和数据库审计都占到了76%以上;
3、 75%的被调查企业用户正在使用或正在考虑使用数据库安全审计产品;
4、 HTTP是企业业务系统的主要访问方式,占被调查企业用户的65%;
5、 对于网络型数据库审计产品的部署方式上,50%的企业用户选择了旁路接入;
6、 在数据库审计产品用户最看重的技术指标调查中,审计协议的全面性占24%;审计规则定义的细粒度占22%;审计日志存储容量占16%;日志记录速度占18%;审计日志的检索方便性占19%,可以看出企业用户对这些技术指标是同样重视的;
7、 在部署数据库安全产品时企业用户最大的顾虑调查中,企业用户对影响数据库性能、稳定性、保密性,以及数据库安全产品本身的安全性和稳定性同等重视;
8、 80%的被调查企业用户认可第三方的独立数据库审计;
调查主体内容:
1、在接受调查的企业用户中,使用数据库审计产品的企业用户其行业分布为:种类企业用户占36%;金融行业用户占21%;政府行业用户占11%;电信行业用户占9%;医疗行业用户占4%;能源行业用户占2%。可以看出,企业、金融行业仍然是数据库审计产品应用的重点行业,两者之各超过了50%的比重。
2、调查显示,Oracle数据库依然是各行业用户中使用最广泛的数据库产品,占到数据库产品的61%的比重;SQL Server数据库占15%;MySQL数据库占12%;DB2数据库占5%。可以看出,Oracle数据库目前依然占据着主要的市场份额,目前主流的数据库审计产品也都对Oralce数据库支持。由于我们调查的数据的片面性,在这里没有体现出国产数据库的使用比例,但根据行业反馈,国产数据库在国内还是有一定的市场的,主流的数据库审计产品在对Oracle支持的同时,对其他数据库,特别是国产数据库也是支持的。
3、调查显示(如下图),超过80%的企业用户认为内部人员的违规操作是目前数据库面临的最主要的安全问题。数据库本身的安全漏洞占57%;黑客对数据库的攻击和篡改占50%。随着企业越来越多的核心机密以数据的形式存储在IT系统上,数据的安全性对企业来说越来越重要,在防止黑客入侵,保护IT系统安全的同时,对内部人员的行为审计也成了保障数据安全的重要一环。
4、根据调查结果,超过80%的企业用户认为数据灾备是最有价值的数据库安全产品,其次是数据库审计产品占76%,接下来依次是数据库入侵防护55%,数据加密48%,数据库漏洞扫描39%,数据库防火墙35%。数据对一个企业的重要性是不言而喻的,数据灾备、数据加密等等安全措施是必不可少的,但我们却惊喜的发现数据库审计也被大家提到了如此重视的程度。
5、调查显示,75%的企业正在使用数据库安全审计产品或是正在考虑使用数据库安全审计产品。而没有考虑使用数据库安全审计产品的企业只占25%。从本调查可以看出,数据库安全审计对企业的重要性是不言而喻的,越来越多的企业开始重视起对数据库的审计工作。
6、在被调查的企业用户中,67%的企业对数据库的访问集中在内部员工通过业务系统的访问,运维人员的直接操作占57%,外部用户通过业务系统的访问占35%;而三种访问数据库方式都存在的企业占41%。作为所占比重最大的一项:内部员工通过业务系统的访问,这一项肯定成为数据库审计的重点。这也是数据库安全尤为重要的一点。
在对企业访问业务系统的访问方式调查中,65%的企业用户是通过HTTP的方式,HTTPS的方式访问占18%,其他访问方式占17%。本节调查也正好说明了在第六节中的调查结果,65%的HTTP访问数据库方式,大部分也是内部员工通过业务系统对数据库的访问。
7、数据库的安全对于企业来说是至关重要的,在业务服务与数据库是否安装在同台设备上的调查中,75%的企业的数据库有专用的服务器,只有25%的企业没有专门的数据库服务器。
8、在数据库审计产品的部署方式的调查中,50%的企业用户选择了旁路接入的方式;在数据库上安装代理占29%;在线接入占22%。
9、由于数据库审计的重要性,企业用户在选择数据库审计产品时的技术指标也成了大家关注的话题。调查中我们发现,审计协议的全面性和审计规则定义的细粒度成为两项最重要的技术指标,均超过了70%。其中,有71%的企业用户认为审计协议的全面性是最重要的;其他项中,审计规则定义的细粒度有70%的企业用户选择;审计日志的检索方便性有59%的企业用户选择;日志记录的速度有56%的企业用户选择;审计日志存储容量有50%的用户选择。
10、很多用户都会在顾虑数据库审计产品对数据库的影响,在我们的调查中也体现出了这一点:72%的企业用户表示对数据库审计产品最大的顾虑就是对数据库性能的影响。其次,对数据库稳定性的影响排在第二位,占到67%;最后才是对数据库审计产品本身的安全性和稳定性的考虑以及对数据保密性的影响,分别占到65%和54%。
注:由于调查的片面性和权威性,本次调查的结果仅供参考。