您好,数据库的安全管理问题归结为对数据库安全策略、数据库安全技术、数据库安全管理流程以及数据库安全审计等方面的管理问题。数据库安全策略方面,要明确数据库安全的目标,制定安全策略,确定安全管理的责任,确定安全管理的范围,确定安全管理的机制,确定安全管理的方法,确定安全管理的标准,确定安全管理的措施,确定安全管理的技术支持,确定安全管理的审计机制,确定安全管理的记录机制,确定安全管理的绩效考核机制,确定安全管理的组织机构,确定安全管理的职责分工,确定安全管理的计划,确定安全管理的经费,确定安全管理的组织机构,确定安全管理的职责分工,确定安全管理的计划,确定安全管理的经费,确定安全管理的组织机构,确定安全管理的职责分工,确定安全管理的计划,确定安全管理的经费,确定安全管理的组织机构,确定安全管理的职责分工,确定安全管理的计划,确定安全管理的经费,确定安全管理的组织机构,确定安全管理的职责分工,确定安全管理的计划,确定安全管理的经费,确定安全管理的组织机构,确定安全管理的职责分工
随着日益复杂的攻击和不断上升的内部数据盗窃,数据库安全成为企业信息安全团队重点关注的焦点,超越了传统的认证、授权和访问控制。一个私人数据入侵,如xyk号或财务数据,可以给机构造成巨大的损失,更不用说诉讼和违规罚款等可能会带来的持久影响。Forrester研究公司建议机构重新制定它们的数据库安全策略,在新安全特性的应用和功能上寻找差距,这有助于帮助数据库应对新的威胁。
1、建立一个集身份验证、授权、访问控制、发现、分类,以及补丁管理于一体的坚实基础
了解哪些数据库包含敏感数据是数据库安全战略的基本要求。企业应对所有的数据库采取一个全面的库存管理,包括生产和非生产的,并且遵循相同的安全政策给它们划分类别。所有的数据库,尤其是那些存有私人数据的数据库,应该有强的认证、授权和访问控制,即使应用层已经完成了认证和授权。缺乏这些坚实基础会削弱审计、监察和加密等其他的安全措施。
此外,如果不能每季度给所有的关键数据库打补丁,那么至少半年一次,以消除已知的漏洞。使用滚动补丁或从数据库管理系统(DBMS)的供应商和其他厂商那里收集信息,以尽量减少应用补丁的停机时间。始终在测试环境下测试安全补丁,定期运行测试脚本,以确保修补程序不影响应用程序的功能或性能。
2、使用具有数据屏蔽、加密和变更管理等功能的预防措施
在建立了一个坚实和基本的数据库安全策略后,就应该开始采取预防措施,以保护重要的数据库。这样就为生产和非生产数据库提供了一个保护层。数据隐私不随着生产系统而停止,它也需要扩展到非生产环境,包括测试、开发、质量保证(QA)、分阶段和训练,基本上所有的私有数据都可以驻留。数据库安全专业人士应该评估在测试环境中或外包应用开发中用数据屏蔽和测试数据生成来保护私有数据的效果。
使用网络加密以防止数据暴露给在监听网络流量或数据静止加密的窥视者(他们关注存储在数据库中的数据)。当数据针对不同的威胁,这些加密方法可以实现相互独立。通常情况下,也不会对应用程序的功能有影响。
保护关键数据库的结构要按照标准化的变更管理程序来进行。在过去,对生产环境中的计划或其它数据库进行变更时需要关闭数据库,但新版本的数据库管理系统允许在联机时进行这些更改,这就带来了新的安全风险。一个标准化的变更管理程序能确保只有管理员在得到管理部门批准后才能改变生产数据库并且跟踪所有数据库的变更。机构还应该更新自己的备份和可行性计划,以处理数据或元数据因这些变更而发生的改变。
3、建立具有审计、监测和漏洞评估功能的数据库入侵检测系统
当重要数据发生意外变化或者检测到可疑数据时,有必要进行一个快速的调查来查看发生了什么事情。数据库里的数据和元数据可以被访问、更改甚至是删除,而且这些都可以在几秒钟的时间内完成。通过数据库审计,我们能够发现是谁改变了数据和这些数据是什么时候被改变的等问题。为了支持之前提到的管理条例标准,安全和风险管理的专业人士应该追踪私人数据的所有访问途径和变化情况,这些私人数据包括:xyk卡号、社会安全卡卡号以及重要的数据库的名称和地址等信息。如果私人数据在没有授权的情况下被更改或者被访问,机构应该追究负责人的责任。最后,可以使用漏洞评估报告来确定数据库的安全空白地带,诸如弱效密码、过多的优先访问权、增加数据库管理员以及安全群组监测。
4、牢记安全政策、安全标准、角色分离和可用性
数据库安全策略不仅关注审计和监测,它也是一个端到端的过程,致力于减少风险、达到管理条例的要求以及防御来自内部和外部的各种攻击。数据库安全需要把注意力更多地放在填补安全空白、与其他安全政策协作以及使安全方式正式化上。在草拟你的安全策略时,要使你的数据库安全政策与信息安全政策一致;要注意行业安全标准;要强调角色分离;要清楚描述出数据恢复和数据使用的步骤。
以上就是关于数据库的安全管理问题归结为对什么和什么的管理问题全部的内容,包括:数据库的安全管理问题归结为对什么和什么的管理问题、四步教你如何完善企业数据库安全政策、等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)