數據庫是存放數據、經常是那些高敏感度數據的寶庫，因此它也毫無疑問的是合規檢查程序的重點區域。幾乎所有的企業合規都會對哪些人、能在什么時間、訪問什么數據庫作出規定，并且需要一個專職人員來管理這些權限。本文，我們將討論針對數據庫合規的基本數據庫安全要求，如PCI DSS和HIPAA，以及為了遵守合規要求用于管理數據庫權限和維護的***實踐。

最常見的五大企業核心數據庫環境是：1、微軟的SQL Server數據庫；2、IBM的DB2數據庫；3、MySQL數據庫；4、Oracle數據庫；5、Postgres數據庫。這些數據庫在***實施安裝時都能夠恰當地配置、加固、保護及鎖定。真正的挑戰是理解那些實際上需要到位的重要組件。這不只是對數據庫本身，還有容納操作系統和數據庫的服務器。

PCI DSS當前對于數據庫要求有下述明確的控制措施：

◆對訪問任意數據庫的所有用戶進行認證。

◆所有用戶訪問任何數據庫時，用戶的查詢和操作（例如移動、拷貝和刪除）只能通過編程性事務（例如存儲過程）。

◆數據庫和應用的配置設置為只限于給DBA（數據庫管理員）的直接用戶訪問或是查詢。

◆對于數據庫應用和相關的應用ID，應用ID只能被應用使用，而不能被單獨的用戶或是其它進程使用。

就HIPAA法案來說，上述的措施沒有作為HIPAA合規要求的內容特別寫出來，但是應當看作是用于合規遵從的***安全控制組合，并且最終有助于滿足HIPAA中安全條款的需要。具體來說，HIPAA的規定條款如下：

◆確保所有新建、接收、維護或是傳輸中的電子個人健康信息（e-PHI）的保密性、完整性和可用性。

◆辨識和防范那些對信息的安全性或完整性來說合理的、可預見的威脅。

◆防范那些合理的、可預見的、不允許的濫用或是泄漏；并且

◆確保他們所有員工的合規性。

此外，除了滿足像PCI DSS這樣的合規要求外，下述是應該考慮的***實踐、可用來確保上面列出的所有數據庫環境的安全。

就運行數據庫的主機的操作系統來說，以下的***實踐應該到位：

1. 系統管理員和其他相關的IT人員應該擁有充分的知識、技能并理解所有關鍵操作系統的安全要求。

2. 當部署操作系統到受管理的服務環境中時，應采用行業領先的配置標準和配套的內部文檔。

3. 在操作系統上應該只啟用那些必需的和安全的服務、協議、守護進程和其它必要的功能。

4. 操作系統上所有不需要的功能和不安全的服務及協議應該有效地禁用。

5. Root帳戶應該選擇唯一的密碼進行恰當地防護并定期更換。

6. Root帳戶應只限于需要的最少的人知道。

7. 應該將Syslog配置為文件發送和syslog數據復制到一臺集中的syslog服務器，從而用來評審日志信息。

8. “最小權限”的準則，即聲明只應賦予用戶能夠有效地和正常地完成他們工作所需的權限，在考慮操作系統的訪問權限時應當考慮。

9. 應該保證操作系統應用了所有相關的和關鍵的安全補丁。

對于實際的數據庫本身，推薦以下的***實踐：

1. 應當有恰當的人員維護和更新用戶名單，其中這些用戶可以訪問受管理的應用服務環境中數據庫。

2. 系統管理員和其他相關的IT人員應該有充分的知識、技能并理解所有的關鍵的數據庫安全要求。

3. 當部署數據庫到受管服務環境中時，應該采用行業領先的配置標準和配套的內部文檔。

4. 對于數據庫功能不需要的默認用戶帳戶，應該鎖定或是做過期處理。

5. 對于所有仍在使用中的默認用戶帳戶，應該主動地變更密碼以采用強密碼措施。

6. 應該給數據庫內的管理員帳戶分配不同的密碼，這些帳戶不應使用共享密碼或組密碼。

7. 措施要到位，用于保護數據字典以及描述數據庫中所有對象的支持性元數據。

8. 對于任何訪問數據庫的基于主機的認證措施，應當有足夠的適當的過程來確保這種訪問類型的整體安全。

9. 數據庫監控應到位，由能夠根據需要對相關的人員進行告警的工具組成。

10. 保證數據庫應用了所有相關的和關鍵的安全補丁。

因此，公司應該首先具有得到良好培訓、在數據庫安全方面具有豐富知識的IT職員，并且擁有用來實施有效的數據庫安全必需的配置指導方針和加固文件。對于所有現有的數據庫平臺和未來要安裝的數據庫而言，要有高度結構化和標準化的方法，從而有效地對數據庫環境進行配置、加固、保護和鎖定。遵循這些***實踐，不出意外的話，你企業在數據庫合規方面的任何努力會在下次評估收尾時得到可觀的回報。