數據庫安全實踐方案的改善以滿足依從性
2024-07-21 02:32:46
供稿:網友
無論你公司的治理層是否已經注重到了,信息的安全依從性已經擺在了那里。似乎各種類型的公司和各個行業都以這樣或者那樣的方式包括在內。 你需要遵循無數的信息安全規則,其中包括: · 幾乎有30多個州違反了通知法律 · HipAA安全規則強制對個人保健記錄進行保護 · Gramm-Leach-Bliley Act涵蓋了個人財務信息 · PCI數據安全標準要求商戶對信用卡信息保密 實際上每個企業都有更高的信息安全標準 對于數據庫治理員或者網絡治理員來說,這關系到數據庫的安全,因為數據庫即使不是必然的,也是最有可能的,那些法律法規所關心的敏感信息的存儲地。數據庫是金庫,所以它也是你必須要集中精力來進行增強的地方。你有這個能力為它帶來正面的改變——無論是你的企業還是你的職業生涯。 以下是你要保護你的數據庫所必需的根基: 遵循要點 假如你像其它很多人一樣,依從性也許看起來令人畏懼。這一點當你剛開始踏上這條路的時候尤其真實。與常見的誤解相反,數據庫領域內的依從性不僅僅防火墻,字段加密,或者強有力的密碼。 我們要說的是,數據庫安全上下文環境的基本的依從性需求在你看來沒有什么新東西: 風險評估會判定哪些數據輕易受到攻擊,需要保護。 · 數據庫登錄的認證控制 · 數據庫訪問控制權限和治理員角色 · 審計用來追蹤誰做了什么,什么時候,在哪里,以及如何的日志信息 · 實際的安全控制,保護你的服務器和數據免受實際的侵犯 · 安全軟件開發實踐方案可以防止大多數數據庫和應用程序的弱點成為黑客的入口點——在代碼級別上 · 從黑客攻擊嘗試中恢復過來的意外響應處理,例如密碼破解或者SQL 注入,還有你的數據庫服務器上惡意軟件的發作。 · 快速響應的業務連續性處理和到備份系統的錯誤恢復;最低程度,也要有程序來讓你的數據庫保持獨立運行狀態,以便信息仍然是可以訪問的,它的完整性不會在災難期間受損。 · 正在進行的測試和評估找出新的內容,并了解你的數據庫的弱點;這些測試和評估也同樣適合支持應用程序和底層的操作系統,并且從你的角度給出整體的信息風險。 所有這些都是信息安全最佳實踐方案。你可以查看HIPAA, GLBA, PCI——你選擇哪個都行——找到同樣的基礎要求。沒有竅門,沒有魔法,只是應該存在的支持業務的常識。依從性將這些良好的安全實踐方案放到一起來規范化你的IT業務,非凡是關心政策文件和手續的地方。 開始安全性遵循:一寸一寸,一行一行 首先,不要嘗試用大面積的修改來讓大洋沸騰。不要期望數據庫安全措施盡善盡美。你會讓自己精疲力盡,并且得罪很多你的用戶——這還不包括你發現預算不夠的時候出現的各種麻煩。 一點一點的來。對數據庫安全的長時間的小小的改善最終將會讓你的企業慢慢達到它想要到達的地點,而這個達到依從性的過程比你想象的要快得多。從一個領域入手,例如系統的穩定(數據庫和操作系統級別),或者審計日志,并且在接下來的幾個月里面將注重力集中在上面。一旦你在一個領域內完成得很好,那么就轉到下一個領域,這樣逐個解決需求列表中需要滿足最廣泛范圍的法律法規的領域。假如你把注重力集中在最高級別上,那么你有可能會滿足所有的基本依從性需求,你所付出的時間和金錢將會得到最大程度的回報。 一種推動你的依從性嘗試的非常好的方法就是將你的安全實踐方案與一個被廣泛接受的標準,例如ITIL, COBIT 和 ISO/IEC 17799:2005對齊。 我通常推薦的是ISO/IEC標準,因為我用它工作的時間最長,我喜歡它清楚列出所有安全領域重要信息的方式。它不局限于數據庫、應用程序,或者操作系統的,它也不需要這樣。然而,它是你在數據庫方面技術能力的良好實現。 17799個組件,與其他大多數一樣,都可以以同一種方式,或者其它的方式捆綁在數據庫安全上。好事就是沒有一條法律法規需要你使用某個特定的信息安全標準;你可以根據你的公司的特定需求選擇使用哪個標準。你甚至可以將來自不同標準的組建互相混合和匹配起來,構成客戶信息安全框架。 以正確的方式執行 在進一步執行之前,你需要決定什么才是對你公司最好的。你的公司內部可能已經有了依從規則,或者IT監管委員會。假如是這樣的話,那就最好了——你就走在了前沿。與他們一起協商采用標準,保證你的數據庫安全在線。
我知道,雖然如此,安全和依從性的責任通常還是會落在數據庫治理員或者/和網絡治理員的身上,所以你也可能是你自己。假如真是這樣的話,至少也要繼續你正在做的事情,讓他們的采購由用處,并且祈禱你可以在以后需要的時候得到他們的支持。究竟,他們是最終對依從性負責的人。 無論你是否有安全委員會,都絕對沒有必要重新發明一次輪子,開發你自己的數據庫安全標準。好的一方面就是假如你將你的工作與類似17799的框架結合在一起,那么你就不需要這么做了。這不僅會讓你和你的公司看起來采取了認真的安全措施,它還大幅度縮減了建立良好的信息安全框架所需要的努力。它還可以幫助你滿足最廣泛的依從性需求,而不需要單獨的解決每個法律法規的非凡細節。 總之,簡單化應該是你的最高目標之一。假如你讓它保持簡單,并且英明地向著更好的安全方向前進,而不是沒有預備的即興操作,以及假設所有東西都會自動朝著好的方向發展,你不會后悔的。
