所有数据库安全战略的最重要的步骤之一，同时也是最有可能被人遗忘的步骤之一，就是：列出企业管理的数据库。只有企业知道它有多少个数据库，哪个数据库包含敏感信息，企业才有可能基于风险来对这些数据库进行优先排序，并部署适当的控制。然而，在数据库发现方面，很多公司仍然处于“混沌”之中。

Imperva公司高级产品经理Anu Yamunan表示：“很多公司都难以定位以及准确地知道其数据库上的所有数据。”Vigilant公司高级经理Paul Borchardt也赞同这个说法，他看到很多公司无法维护整个企业的数据库或应用程序库存清单。他表示，“你听起来非常简单且具有逻辑性，但准确的资产清单通常是不存在的，如果存在的话，也是由不同资产管理者(例如数据库管理员和开发人员)分散管理的，无法找出包含你的客户的PII信息的数据库，这将会让你难以面对监管机构和法院的审查。”

这里的部分问题在于规模。很多企业在其IT基础设施内运行数百个数据库，有些数据库比其他数据库更加明显一些。根据最新的IOUG企业数据安全调查，38%的企业运行着超过100个数据库，而18%运行超过1000个数据库。再加上数据库和应用程序的动态本质，我们就能够明白，为什么看似如此简单的任务仍然在IT的必做工作清单中。

MENTIS Software 市场营销和产品战略副总裁Kevin O'Malley 表示：“数据库的主要问题是复杂性，不断的变化使企业几乎不可能通过手动程序来追踪。”

此外，其他业务和技术趋势也加剧了发现和追踪数据库的难度。Yamunan表示，“虚拟化就是其中之一，例如，管理员可以轻松地创建一个数据库的新的虚拟镜像，这个虚拟镜像现在包含一个‘虚拟’数据库，不受IT安全控制。”

同样地，备份数据存储到云中也给发现和保护数据库带来了潜在的问题。快照功能不仅创建了难以追踪的数据库副本，而且它们通常不具备加密功能。例如，亚马逊AWS具有关系数据库服务(RDS)，而没有加密数据库快照功能。

Laconic Security公司联合创始人Fred Thiele表示，“此外，亚马逊还有冗余故障转移选项，如果主数据库出现故障，还可以保持最新的备份，同样，如果你数据库中有未加密的数据，未加密的数据会以纯文本格式被复制到亚马逊的另一个地方。”

不管怎样，企业应该想办法来自动扫描基础设施，以发现和追踪数据库及其包含的信息。O'Malley建立每月或者至少每个季度进行一次完全扫描，来确保企业能够找出敏感数据。定期这样做很重要，因为数据库的内容可能会随着时间的推移而变化，看似无用的数据可能会变成敏感数据。

“在定期扫描的基础上，企业还应该检查和修复基础设施漏洞和错误配置，并持续监控哪些人可以访问敏感数据，”Yamunan认为这会让企业更容易找出存在漏洞的敏感数据库。这样做基本上能够为不同数据的不同数据集来建立风险评分。例如，没有及时修复漏洞的数据库，而又包含信用卡信息，同时又能够被外部用户和应用访问，这种数据库就是高风险数据库。