企業該如何制定最佳數據庫安全策略
數據庫安全包含兩層含義:第一層是指系統運行安全,系統運行安全通常受到的威脅如下,一些網絡不法分子通過網絡,局域網等途徑通過入侵電腦使系統無法正常啟動,或超負荷讓機子運行大量算法,并關閉cpu風扇,使cpu過熱燒壞等破壞性活動; 第二層是指系統信息安全,系統安全通常受到的威脅如下,黑客對數據庫入侵,并盜取想要的資料。隨著網絡攻擊和互聯網數據泄漏的增加,數據庫安全也隨即受到傳統驗證,授權許可和訪問控制等企業信息安全團隊的重視。
針對私有數據,如信用卡數據和金融數據的單一型入侵可以對企業造成集中性損害,更不用說會引發法律糾紛了。Forrester 研究公司建議企業重新制定自己的數據庫安全策略,并尋求新的安全功能,用來應對新的威脅。
任何成功的數據庫安全策略都需要了解保護每個數據庫的意圖,需要了解所保護的對象以及怎樣保護數據免受各類威脅的襲擊,維持各種規則的遵循——如SOX,HIPAA,PCI DSS, GLBA和歐盟指令行為。在最近的調查中,Forrester推薦企業在下列三個基礎之上創建一個綜合的數據安全策略:
1. 用驗證,授權,訪問控制,恢復和分類以及分批管理來創建強大的基礎。
了解哪個數據庫包含敏感信息是對任何數據庫安全策略提出的基本要求。企業應該保持對數據庫的更新,創新及完整,包括產品與非產品,然后將其歸類到應該遵循相同安全策略的不同目錄。所有數據庫,特別是那些保留有隱私數據的數據庫應該具備強大的驗證,授權和訪問控制功能,即便是應用層也要進行驗證和授權。如果缺乏強大的基礎,那么其他安全措施,如審計,監控和加密就會遜色不少。
此外,如果不是每個季度都進行數據庫修補的話,那至少應該半年為關鍵數據庫進行修補,以此類消除已知的漏洞。調查數據庫管理系統供應商發布的補丁和產品以便縮短應用數據庫時產生的停工期。要經常在測試環境中測試安全補丁,運行常規測試腳本來確保這些補丁不會對應用程序的功能和性能有任何影響。
#p#
2. 通過數據掩碼,加密和更改管理采取防御性措施。
在創建好一個穩定的,基礎型數據庫安全策略后,就可以采取防御性措施保護關鍵數據庫。這意味著要為產品和非產品數據庫添加新的保護層。數據隱私不會止步于產品系統;我們應該同時擴展非產品環境,包括測試,開發,質量保證,分段傳輸和訓練實例,特別是存儲隱私數據的地方。數據庫安全專家應該評估數據掩碼的使用情況以及測試數據的生成以便在測試環境中或者外包應用開發的時候保護隱私數據。
可考慮用網絡加密來防止數據泄漏或者對靜態數據加密。在處理不同威脅的過程中,兩種加密方法可以相互獨立使用。通常,二者都不會對應用程序的功能產生影響。
我們還可以對管理進程進行規范化的修改以便保護重要的數據庫結構。過去,生產環境中架構或數據庫的更改需要先停止數據庫的運行,但是新的DBMS允許在聯機的數據庫上進行修改操作,而這也帶來了新的安全威脅。對管理進程進行規范化的更改確保管理員只在管理被核準后才能更改產品數據庫,而管理員也可以跟蹤所有更改。企業應該更新自己的恢復和可用計劃以解決這類更改所帶來的數據或元數據事故。
3. 用審計,監控和漏洞評估創建數據庫侵入偵查。
不論重要的數據發生意料之外的更改還是我們發現有可疑數據發出訪問請求。企業都需要盡快展開調查尋找事故緣由。數據庫中的數據和元數據可以在數秒之內被訪問,更改甚至是刪除。數據庫審計可以回答一些棘手的問題,如“誰改變了數據?”“何時更改了數據?”。要支持常規的標準,如前所述,安全和風險管理專家應該追蹤對隱私數據(如信用卡號碼,社交安全號碼,重要數據庫的姓名和地址)發出的所有訪問和更改。如果隱私數據在未授權的情況下被訪問或被更改,企業應該找到責任人追究責任。最后,漏洞評估報告可用來識別數據庫環境中的安全缺陷,如較弱的密碼,過量的訪問優先權,補充型DBA和安全組監測。
不要忘記安全策略,標準,角色分離和可用性
數據庫安全策略不僅僅是關乎審計和監控,還關乎端對端的進程設置,這些設置側重于最小化風險,符合常規要求以及防御內部和外部攻擊。數據庫安全需要更廣泛的關注,要彌補安全方面的不足,符合通用策略以及規范安全方案。當起草安全策略的時候,要協調數據庫安全策略與信息安全策略間的關系,將重心放在行業安全標準上,促使角色分離,將數據恢復和數據可用性進程順利連接起來。
企業一步步建立一套對數據庫系統安全起保護作用的系統,完善了企業內部的管理機制,同時也保證了數據庫系統中數據的安全性。
【編輯推薦】
