所有數(shù)據(jù)庫安全戰(zhàn)略的最重要的步驟之一，同時也是最有可能被人遺忘的步驟之一，就是：列出企業(yè)管理的數(shù)據(jù)庫。只有企業(yè)知道它有多少個數(shù)據(jù)庫，哪個數(shù)據(jù)庫包含敏感信息，企業(yè)才有可能基于風險來對這些數(shù)據(jù)庫進行優(yōu)先排序，并部署適當?shù)目刂啤Ｈ欢?，在?shù)據(jù)庫發(fā)現(xiàn)方面，很多公司仍然處于“混沌”之中。

Imperva公司高級產(chǎn)品經(jīng)理Anu Yamunan表示：“很多公司都難以定位以及準確地知道其數(shù)據(jù)庫上的所有數(shù)據(jù)。”Vigilant公司高級經(jīng)理Paul Borchardt也贊同這個說法，他看到很多公司無法維護整個企業(yè)的數(shù)據(jù)庫或應用程序庫存清單。他表示，“你聽起來非常簡單且具有邏輯性，但準確的資產(chǎn)清單通常是不存在的，如果存在的話，也是由不同資產(chǎn)管理者(例如數(shù)據(jù)庫管理員和開發(fā)人員)分散管理的，無法找出包含你的客戶的PII信息的數(shù)據(jù)庫，這將會讓你難以面對監(jiān)管機構和法院的審查。”

這里的部分問題在于規(guī)模。很多企業(yè)在其IT基礎設施內運行數(shù)百個數(shù)據(jù)庫，有些數(shù)據(jù)庫比其他數(shù)據(jù)庫更加明顯一些。根據(jù)最新的IOUG企業(yè)數(shù)據(jù)安全調查，38%的企業(yè)運行著超過100個數(shù)據(jù)庫，而18%運行超過1000個數(shù)據(jù)庫。再加上數(shù)據(jù)庫和應用程序的動態(tài)本質，我們就能夠明白，為什么看似如此簡單的任務仍然在IT的必做工作清單中。

MENTIS Software 市場營銷和產(chǎn)品戰(zhàn)略副總裁Kevin O'Malley 表示：“數(shù)據(jù)庫的主要問題是復雜性，不斷的變化使企業(yè)幾乎不可能通過手動程序來追蹤。”

此外，其他業(yè)務和技術趨勢也加劇了發(fā)現(xiàn)和追蹤數(shù)據(jù)庫的難度。Yamunan表示，“虛擬化就是其中之一，例如，管理員可以輕松地創(chuàng)建一個數(shù)據(jù)庫的新的虛擬鏡像，這個虛擬鏡像現(xiàn)在包含一個‘虛擬’數(shù)據(jù)庫，不受IT安全控制。”

同樣地，備份數(shù)據(jù)存儲到云中也給發(fā)現(xiàn)和保護數(shù)據(jù)庫帶來了潛在的問題?？煺展δ懿粌H創(chuàng)建了難以追蹤的數(shù)據(jù)庫副本，而且它們通常不具備加密功能。例如，亞馬遜AWS具有關系數(shù)據(jù)庫服務(RDS)，而沒有加密數(shù)據(jù)庫快照功能。

Laconic Security公司聯(lián)合創(chuàng)始人Fred Thiele表示，“此外，亞馬遜還有冗余故障轉移選項，如果主數(shù)據(jù)庫出現(xiàn)故障，還可以保持最新的備份，同樣，如果你數(shù)據(jù)庫中有未加密的數(shù)據(jù)，未加密的數(shù)據(jù)會以純文本格式被復制到亞馬遜的另一個地方。”

不管怎樣，企業(yè)應該想辦法來自動掃描基礎設施，以發(fā)現(xiàn)和追蹤數(shù)據(jù)庫及其包含的信息。O'Malley建立每月或者至少每個季度進行一次完全掃描，來確保企業(yè)能夠找出敏感數(shù)據(jù)。定期這樣做很重要，因為數(shù)據(jù)庫的內容可能會隨著時間的推移而變化，看似無用的數(shù)據(jù)可能會變成敏感數(shù)據(jù)。

“在定期掃描的基礎上，企業(yè)還應該檢查和修復基礎設施漏洞和錯誤配置，并持續(xù)監(jiān)控哪些人可以訪問敏感數(shù)據(jù)，”Yamunan認為這會讓企業(yè)更容易找出存在漏洞的敏感數(shù)據(jù)庫。這樣做基本上能夠為不同數(shù)據(jù)的不同數(shù)據(jù)集來建立風險評分。例如，沒有及時修復漏洞的數(shù)據(jù)庫，而又包含信用卡信息，同時又能夠被外部用戶和應用訪問，這種數(shù)據(jù)庫就是高風險數(shù)據(jù)庫。