次級信息源如何使您的企業面臨風險

運用加密技術保護數據庫是一項基本的信息安全最佳實踐，也是受合規遵從指令影響的信息的一個要求。然而，主數據存儲以外的地方（如臨時文件、提取-轉換-加載 (ETL) 數據、調試文件、日志文件和其他次要來源）也存在未加密的數據。許多企業甚至沒有意識到自身

運用加密技術保護是一項基本的信息安全最佳實踐，也是受合規遵從指令影響的信息的一個要求。然而，主數據存儲以外的地方（如臨時文件、提取-轉換-加載 (etl) 數據、調試文件、日志文件和其他次要來源）也存在未加密的數據。許多企業甚至沒有意識到自身網絡中可能存有這類未加密的敏感數據。根據 verizon payment card industry compliance report，之外的未加密數據常常遭到黑客竊取，因為這些數據十分容易獲得。在思考如何保護 ibm db2 數據時，絕大部分企業都很清楚需要加密 db2 表空間和數據庫活動監控。不過，人們往往會忽略對數據庫內部信息以外的數據庫周邊信息的保護。雖然僅對數據庫本身進行加密似乎足以保護 db2 內部的靜態數據，但企業還需要考慮可能存在敏感數據的其他數據庫周邊位置。

其中許多位置并不在數據庫管理員 (DBA) 的直接控制之下。例如，數據庫腳本通常包含用于訪問數據庫的用戶名和密碼。如果數據庫損壞，那么這些類型的文件可能會產生數據庫漏洞。

另一項風險在于 DB2 的外部文件行為。DB2 錯誤等行為可能會生成包含敏感數據的跟蹤文件或警報日志。舉例來說，DB2 以外的一些敏感數據位置包括目錄文件、事務日志以及包含診斷日志、報告、導出文件、ETL 數據和腳本的外部文件（參見圖 1）。

圖 1. 可能包含敏感信息的 IBM DB2 相關文件

圖片文字：
Catalog Files：目錄文件
Tablespaces：表空間
User：用戶
System：系統
TEMP：TEMP
Transaction logs：事務日志
Online：在線
Archive：存檔
External files：外部文件
Operates on database：數據庫上的操作
Diagnostic logs：診斷日志
Reports：報告
Exports：導出文件
Backups：備份
Scripts：腳本

下面是一份包含所有外部 DB2 文件和子類型文件的名單，同時還介紹了它們提供的功能，以及它們為什么應當受到保護。

目錄文件

通常情況下，這些配置文件用于定義與數據庫相關的 IBM DB2 初始化參數。其中包含諸如數據庫名稱和所用的端口等信息。如果配置信息被認定為敏感信息，那么系統就會對其進行保護。