【IT168 资讯】4月15日，国内数据库领域唯一的年度盛会，由盛拓传媒IT168网站汇集旗下ITPUB、IXPUB以及ChinaUnix中国三大企业级技术社区优势资源主办的“2011数据库技术大会”在北京举行。在下午的DB2专场，IBM高级信息工程师张茹云做了数据安全治理及审计合规的非常好的实践演讲。

▲点击图片查看专题报道

▲IBM高级信息工程师张茹云

　　张茹云表示，目前，企业风险管理的最大漏洞在数据库，其中3/4的成员不清楚特权用户对数据库进行过何种操作，2/3的成员不能有效防止特权用户对数据库的非授权访问，85%的成员将真实数据不加防范地交与开发人员或第三方人员，将近一半的成员对其非特权用户访问敏感数据毫无措施，大多数成员都未能及时采取防范SQL注入的攻击。

　　Guardium解决数据库安全的主要问题：

　　数据库安全8步非常好的实践：

　　1.发现-定位和分类企业数据库中的敏感信息；

　　2.弱点和配置评估评估数据库漏洞和配置缺陷；

　　3.加固：执行安全建议,如:安全补丁；

　　4.变更审计-设置’黄金’安全防护基线，对偏离基线的事件提供全面可视性；

　　5.数据库活动监控-监控敏感数据访问、特权用户行为、变更控制、应用用户活动和安全性异常(比如登录失败)，并实施对应安全策略,如实时报警；

　　6.审计-针对合规要求,如:SOX,预先配置报告，自动化整个遵从性审计流程，包括向监督团队分发报告、报告签署和上报；

　　7.认证、访问控制及权限管理-确保每个用户拥有权限赋予访问范畴，并通过管理特权来限制对数据的访问；

　　8.加密-使用加密技术呈现敏感数据，阻止攻击者从数据传输过程中获取信息。