數(shù)據(jù)庫加密真正的致命弱點就是數(shù)據(jù)庫備份和數(shù)據(jù)庫副本如何被發(fā)送到公司外合作伙伴的方式。不到一半的企業(yè)可以明確的表示，他們沒有發(fā)送未加密數(shù)據(jù)庫信息到公司外部。只有16%的企業(yè)表示他們對所有數(shù)據(jù)庫備份和數(shù)據(jù)庫副本進(jìn)行了加密。

　　1. 企業(yè)仍然不知道重要數(shù)據(jù)的位置

　　在企業(yè)可以保護(hù)他們的重要數(shù)據(jù)之前，他們必須知道重要數(shù)據(jù)的位置。不幸的是，在當(dāng)今快節(jié)奏的IT環(huán)境，很多管理員發(fā)現(xiàn)很難在眾多數(shù)據(jù)庫中追蹤重要信息。事實上，他們只是不知道哪些數(shù)據(jù)庫包含或者不包含諸如個人身份信息等數(shù)據(jù)。調(diào)查發(fā)現(xiàn)，48%的受訪者承認(rèn)他們不清楚企業(yè)中哪些數(shù)據(jù)庫包含機(jī)密信息。部分原因在于現(xiàn)在企業(yè)運(yùn)行著大量的數(shù)據(jù)庫。大約35%的企業(yè)運(yùn)行11到100個數(shù)據(jù)庫，將近40%的企業(yè)運(yùn)行超過100個數(shù)據(jù)庫，而13%的企業(yè)運(yùn)行1000多個數(shù)據(jù)庫。更復(fù)雜的問題是，非常多的重要信息位于生產(chǎn)數(shù)據(jù)庫外部。大約有37%的企業(yè)承認(rèn)他們在非生產(chǎn)數(shù)據(jù)庫使用生產(chǎn)數(shù)據(jù)，在這些受訪者中，39%表示這些數(shù)據(jù)包含個人身份信息或者他們并不確定是否包含。

　　2. 加密不足

　　雖然HIPAA和PCL DSS等法規(guī)要求企業(yè)加密或者確定數(shù)據(jù)庫內(nèi)的個人身份信息，但企業(yè)內(nèi)對個人身份信息的數(shù)據(jù)庫加密仍然遠(yuǎn)遠(yuǎn)不夠。少于三分之一的管理員表示，他們會對所有數(shù)據(jù)庫內(nèi)的個人身份信息進(jìn)行加密，而38%則表示，他們沒有加密個人身份信息或者不確定是否加密。對進(jìn)出數(shù)據(jù)庫的網(wǎng)絡(luò)流量的加密也是同樣如此，大約23%的企業(yè)表示他們加密所有流量，而35%承認(rèn)他們沒有加密流量或者不確定是否加密。

　　3. 安全監(jiān)控力度不足

　　有這么多的數(shù)據(jù)庫需要追蹤，如果企業(yè)真的想清楚知道哪些人訪問了重要數(shù)據(jù)，他們必須明確如何監(jiān)測這些數(shù)據(jù)的活動。然而，只有四分之一的企業(yè)部署了自動化工具來定期監(jiān)測數(shù)據(jù)庫行為，這個數(shù)據(jù)自IOUG從2008年開始訪問數(shù)據(jù)庫管理員以來就大致保持不變。雖然72%的企業(yè)表示至少在一些數(shù)據(jù)庫上使用本地審計工具，很少的管理員會真正查看這些工具生成的數(shù)據(jù)。大約有11%的企業(yè)表示他們會定期手動監(jiān)測數(shù)據(jù)庫。25%的企業(yè)表示他們沒有辦法確定數(shù)據(jù)庫是否發(fā)生了未經(jīng)授權(quán)更改。只有30%的企業(yè)表示他們能夠在大多數(shù)數(shù)據(jù)庫中檢查出這種更改。約有46%的受訪者表示他們只能夠檢測中某些數(shù)據(jù)庫中的未經(jīng)授權(quán)更改。然而，在那些可以發(fā)現(xiàn)未經(jīng)授權(quán)更改的受訪者中，響應(yīng)時間都很慢。只有12%的受訪者表示他們能夠在一個小時內(nèi)檢測出未經(jīng)授權(quán)更改，而約有33%的受訪者表示他們最多一天內(nèi)可以察覺。大約16%的受訪者表示需要一天或者更長事件，40%表示他們不確定什么時候能夠察覺未經(jīng)授權(quán)更改。

　　4. 數(shù)據(jù)庫補(bǔ)丁修復(fù)緩慢

　　現(xiàn)在很多數(shù)據(jù)泄漏事故都出自利用數(shù)據(jù)庫和web應(yīng)用程序漏洞攻入重要數(shù)據(jù)存儲位置的黑客之手。根據(jù)最新Verizon2010數(shù)據(jù)泄漏調(diào)查報告顯示，去年的數(shù)據(jù)泄漏事故中有90%涉及SQL注入攻擊。雖然企業(yè)完全可以通過保持更新數(shù)據(jù)庫和以安全的方式配置來避免這些攻擊，但是他們根本沒有抓住這個機(jī)會來減輕風(fēng)險。IOUG調(diào)查發(fā)現(xiàn)63%的管理員承認(rèn)他們的關(guān)鍵補(bǔ)丁更新至少有一個周期時間的延誤。最令人關(guān)注的是，17%的管理員表示他們從來沒有修復(fù)補(bǔ)丁或者并不確定是否修復(fù)了補(bǔ)丁。

　　5. 特權(quán)用戶運(yùn)行不受制止

　　我們最大的風(fēng)險可能是員工肆意運(yùn)行，我們可以很快察覺，但是可能還是無法避免嚴(yán)重?fù)p害。這是很多管理員共同的心聲，約有22%受訪者將內(nèi)部攻擊者列為他們最大的數(shù)據(jù)庫安全風(fēng)險，而另外12%受訪者表示濫用特權(quán)是最大的威脅。盡管大家都知道這個威脅，但是卻很少有企業(yè)采取行動來減輕這些風(fēng)險。高達(dá)四分之三的企業(yè)并有或者不確定他們是否有辦法制止特權(quán)用戶濫用或者攻擊數(shù)據(jù)庫信息。只有23%的企業(yè)有辦法阻止特權(quán)用戶的意外更高。四分之一的企業(yè)，即使是普