本文講的是<b>四步教你如何完善企業資料庫安全政策,</b>随着日益複雜的攻擊和不斷上升的内部資料盜竊,資料庫安全成為企業資訊安全團隊重點關注的焦點,超越了傳統的認證、授權和通路控制。一個私人資料入侵,如信用卡号或财務資料,可以給機構造成巨大的損失,更不用說訴訟和違規罰款等可能會帶來的持久影響。Forrester研究公司建議機構重新制定它們的資料庫安全政策,在新安全特性的應用和功能上尋找差距,這有助于幫助資料庫應對新的威脅。
制定一個成功的資料庫安全政策的關鍵在于你要了解為什麼要保護資料庫,保護哪個資料庫,以及如何最好的保護資料以應對所有類型的威脅,遵從各種規範——如SOX、HIPAA、PCI DSS、GLBA 和歐盟法令。在最新的研究中,Forrester建議企業按照以下三點來建立完整的資料庫安全政策:
<b> 1、建立一個集身份驗證、授權、通路控制、發現、分類,以及更新檔管理于一體的堅實基礎</b>
了解哪些資料庫包含敏感資料是資料庫安全戰略的基本要求。企業應對所有的資料庫采取一個全面的庫存管理,包括生産和非生産的,并且遵循相同的安全政策給它們劃分類别。所有的資料庫,尤其是那些存有私人資料的資料庫,應該有強的認證、授權和通路控制,即使應用層已經完成了認證和授權。缺乏這些堅實基礎會削弱審計、監察和加密等其他的安全措施。
此外,如果不能每季度給所有的關鍵資料庫打更新檔,那麼至少半年一次,以消除已知的漏洞。使用滾動更新檔或從資料庫管理系統(DBMS)的供應商和其他廠商那裡收集資訊,以盡量減少應用更新檔的停機時間。始終在測試環境下測試安全更新檔,定期運作測試腳本,以確定修補程式不影響應用程式的功能或性能。
<b> 2、使用具有資料屏蔽、加密和變更管理等功能的預防措施</b>
在建立了一個堅實和基本的資料庫安全政策後,就應該開始采取預防措施,以保護重要的資料庫。這樣就為生産和非生産資料庫提供了一個保護層。資料隐私不随着生産系統而停止,它也需要擴充到非生産環境,包括測試、開發、品質保證(QA)、分階段和訓練,基本上所有的私有資料都可以駐留。資料庫安全專業人士應該評估在測試環境中或外包應用開發中用資料屏蔽和測試資料生成來保護私有資料的效果。
使用網絡加密以防止資料暴露給在監聽網絡流量或資料靜止加密的窺視者(他們關注存儲在資料庫中的資料)。當資料針對不同的威脅,這些加密方法可以實作互相獨立。通常情況下,也不會對應用程式的功能有影響。
<b> 3、建立具有審計、監測和漏洞評估功能的資料庫入侵檢測系統</b>
當重要資料發生意外變化或者檢測到可疑資料時,有必要進行一個快速的調查來檢視發生了什麼事情。資料庫裡的資料和中繼資料可以被通路、更改甚至是删除,而且這些都可以在幾秒鐘的時間内完成。通過資料庫審計,我們能夠發現“是誰改變了資料”和“這些資料是什麼時候被改變的”等問題。為了支援之前提到的管理條例标準,安全和風險管理的專業人士應該追蹤私人資料的所有通路途徑和變化情況,這些私人資料包括:信用卡卡号、社會安全卡卡号以及重要的資料庫的名稱和位址等資訊。如果私人資料在沒有授權的情況下被更改或者被通路,機構應該追究負責人的責任。最後,可以使用漏洞評估報告來确定資料庫的安全空白地帶,諸如弱效密碼、過多的優先通路權、增加資料庫管理者以及安全群組監測。
<b> 4、牢記安全政策、安全标準、角色分離和可用性</b>
資料庫安全政策不僅關注審計和監測,它也是一個端到端的過程,緻力于減少風險、達到管理條例的要求以及防禦來自内部和外部的各種攻擊。資料庫安全需要把注意力更多地放在填補安全空白、與其他安全政策協作以及使安全方式正式化上。在草拟你的安全政策時,要使你的資料庫安全政策與資訊安全政策一緻;要注意行業安全标準;要強調角色分離;要清楚描述出資料恢複和資料使用的步驟。
作者:kaduo
來源:it168網站
原文标題:四步教你如何完善企業資料庫安全政策
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)