如何完善企業(yè)數(shù)據(jù)庫安全政策

2013-05-27 15:25 作者：ly 瀏覽量：

隨著日益復雜的攻擊和不斷上升的內(nèi)部數(shù)據(jù)盜竊，數(shù)據(jù)庫安全成為企業(yè)信息安全團隊重點關注的焦點，超越了傳統(tǒng)的認證、授權(quán)和訪問控制。一個私人數(shù)據(jù)入侵，如信用卡號或財務數(shù)據(jù)，可以給機構(gòu)造成巨大的損失，更不用說訴訟和違規(guī)罰款等可能會帶來的持久影響。Forrester研究公司建議機構(gòu)重新制定它們的數(shù)據(jù)庫安全策略，在新安全特性的應用和功能上尋找差距，這有助于幫助數(shù)據(jù)庫應對新的威脅。                 服務器維護

　　制定一個成功的數(shù)據(jù)庫安全策略的關鍵在于你要了解為什么要保護數(shù)據(jù)庫，保護哪個數(shù)據(jù)庫，以及如何最好的保護數(shù)據(jù)以應對所有類型的威脅，遵從各種規(guī)范--如SOX、HIPAA、PCI DSS、GLBA 和歐盟法令。在最新的研究中，F(xiàn)orrester建議企業(yè)按照以下三點來建立完整的數(shù)據(jù)庫安全策略： 

　　1、建立一個集身份驗證、授權(quán)、訪問控制、發(fā)現(xiàn)、分類，以及補丁管理于一體的堅實基礎                       數(shù)據(jù)恢復

　　了解哪些數(shù)據(jù)庫包含敏感數(shù)據(jù)是數(shù)據(jù)庫安全戰(zhàn)略的基本要求。企業(yè)應對所有的數(shù)據(jù)庫采取一個全面的庫存管理，包括生產(chǎn)和非生產(chǎn)的，并且遵循相同的安全政策給它們劃分類別。所有的數(shù)據(jù)庫，尤其是那些存有私人數(shù)據(jù)的數(shù)據(jù)庫，應該有強的認證、授權(quán)和訪問控制，即使應用層已經(jīng)完成了認證和授權(quán)。缺乏這些堅實基礎會削弱審計、監(jiān)察和加密等其他的安全措施。 

　　此外，如果不能每季度給所有的關鍵數(shù)據(jù)庫打補丁，那么至少半年一次，以消除已知的漏洞。使用滾動補丁或從數(shù)據(jù)庫管理系統(tǒng)（DBMS）的供應商和其他廠商那里收集信息，以盡量減少應用補丁的停機時間。始終在測試環(huán)境下測試安全補丁，定期運行測試腳本，以確保修補程序不影響應用程序的功能或性能。 

　　2、使用具有數(shù)據(jù)屏蔽、加密和變更管理等功能的預防措施            辦公設備維護

　　在建立了一個堅實和基本的數(shù)據(jù)庫安全策略后，就應該開始采取預防措施，以保護重要的數(shù)據(jù)庫。這樣就為生產(chǎn)和非生產(chǎn)數(shù)據(jù)庫提供了一個保護層。數(shù)據(jù)隱私不隨著生產(chǎn)系統(tǒng)而停止，它也需要擴展到非生產(chǎn)環(huán)境，包括測試、開發(fā)、質(zhì)量保證（QA）、分階段和訓練，基本上所有的私有數(shù)據(jù)都可以駐留。數(shù)據(jù)庫安全專業(yè)人士應該評估在測試環(huán)境中或外包應用開發(fā)中用數(shù)據(jù)屏蔽和測試數(shù)據(jù)生成來保護私有數(shù)據(jù)的效果。 

　　使用網(wǎng)絡加密以防止數(shù)據(jù)暴露給在監(jiān)聽網(wǎng)絡流量或數(shù)據(jù)靜止加密的窺視者（他們關注存儲在數(shù)據(jù)庫中的數(shù)據(jù)）。當數(shù)據(jù)針對不同的威脅，這些加密方法可以實現(xiàn)相互獨立。通常情況下，也不會對應用程序的功能有影響。 

　　保護關鍵數(shù)據(jù)庫的結(jié)構(gòu)要按照標準化的變更管理程序來進行。在過去，對生產(chǎn)環(huán)境中的計劃或其它數(shù)據(jù)庫進行變更時需要關閉數(shù)據(jù)庫，但新版本的數(shù)據(jù)庫管理系統(tǒng)允許在聯(lián)機時進行這些更改，這就帶來了新的安全風險。一個標準化的變更管理程序能確保只有管理員在得到管理部門批準后才能改變生產(chǎn)數(shù)據(jù)庫并且跟蹤所有數(shù)據(jù)庫的變更。機構(gòu)還應該更新自己的備份和可行性計劃，以處理數(shù)據(jù)或元數(shù)據(jù)因這些變更而發(fā)生的改變。  

　　3、建立具有審計、監(jiān)測和漏洞評估功能的數(shù)據(jù)庫入侵檢測系統(tǒng)                企業(yè)it外包

　　當重要數(shù)據(jù)發(fā)生意外變化或者檢測到可疑數(shù)據(jù)時，有必要進行一個快速的調(diào)查來查看發(fā)生了什么事情。數(shù)據(jù)庫里的數(shù)據(jù)和元數(shù)據(jù)可以被訪問、更改甚至是刪除，而且這些都可以在幾秒鐘的時間內(nèi)完成。通過數(shù)據(jù)庫審計，我們能夠發(fā)現(xiàn)"是誰改變了數(shù)據(jù)"和"這些數(shù)據(jù)是什么時候被改變的"等問題。為了支持之前提到的管理條例標準，安全和風險管理的專業(yè)人士應該追蹤私人數(shù)據(jù)的所有訪問途徑和變化情況，這些私人數(shù)據(jù)包括：信用卡卡號、社會安全卡卡號以及重要的數(shù)據(jù)庫的名稱和地址等信息。如果私人數(shù)據(jù)在沒有授權(quán)的情況下被更改或者被訪問，機構(gòu)應該追究負責人的責任。最后，可以使用漏洞評估報告來確定數(shù)據(jù)庫的安全空白地帶，諸如弱效密碼、過多的優(yōu)先訪問權(quán)、增加數(shù)據(jù)庫管理員以及安全群組監(jiān)測。              北京it外包

　　4、牢記安全政策、安全標準、角色分離和可用性 

　　數(shù)據(jù)庫安全策略不僅關注審計和監(jiān)測，它也是一個端到端的過程，致力于減少風險、達到管理條例的要求以及防御來自內(nèi)部和外部的各種攻擊。數(shù)據(jù)庫安全需要把注意力更多地放在填補安全空白、與其他安全政策協(xié)作以及使安全方式正式化上。在草擬你的安全策略時，要使你的數(shù)據(jù)庫安全政策與信息安全政策一致；要注意行業(yè)安全標準；要強調(diào)角色分離；要清楚描述出數(shù)據(jù)恢復和數(shù)據(jù)使用的步驟。

--- 版權(quán)最終歸艾銻無限所有http://www.maosdadas.net/ 如需轉(zhuǎn)載，請標明出處。