四步教你如何完善企业数据库安全政策

简介:
本文讲的是 四步教你如何完善企业数据库安全政策, 随着日益复杂的攻击和不断上升的内部数据盗窃,数据库安全成为企业信息安全团队重点关注的焦点,超越了传统的认证、授权和访问控制。一个私人数据入侵,如信用卡号或财务数据,可以给机构造成巨大的损失,更不用说诉讼和违规罚款等可能会带来的持久影响。Forrester研究公司建议机构重新制定它们的数据库安全策略,在新安全特性的应用和功能上寻找差距,这有助于帮助数据库应对新的威胁。

  制定一个成功的数据库安全策略的关键在于你要了解为什么要保护数据库,保护哪个数据库,以及如何最好的保护数据以应对所有类型的威胁,遵从各种规范——如SOX、HIPAA、PCI DSS、GLBA 和欧盟法令。在最新的研究中,Forrester建议企业按照以下三点来建立完整的数据库安全策略:

  1、建立一个集身份验证、授权、访问控制、发现、分类,以及补丁管理于一体的坚实基础

  了解哪些数据库包含敏感数据是数据库安全战略的基本要求。企业应对所有的数据库采取一个全面的库存管理,包括生产和非生产的,并且遵循相同的安全政策给它们划分类别。所有的数据库,尤其是那些存有私人数据的数据库,应该有强的认证、授权和访问控制,即使应用层已经完成了认证和授权。缺乏这些坚实基础会削弱审计、监察和加密等其他的安全措施。

  此外,如果不能每季度给所有的关键数据库打补丁,那么至少半年一次,以消除已知的漏洞。使用滚动补丁或从数据库管理系统(DBMS)的供应商和其他厂商那里收集信息,以尽量减少应用补丁的停机时间。始终在测试环境下测试安全补丁,定期运行测试脚本,以确保修补程序不影响应用程序的功能或性能。

  2、使用具有数据屏蔽、加密和变更管理等功能的预防措施

  在建立了一个坚实和基本的数据库安全策略后,就应该开始采取预防措施,以保护重要的数据库。这样就为生产和非生产数据库提供了一个保护层。数据隐私不随着生产系统而停止,它也需要扩展到非生产环境,包括测试、开发、质量保证(QA)、分阶段和训练,基本上所有的私有数据都可以驻留。数据库安全专业人士应该评估在测试环境中或外包应用开发中用数据屏蔽和测试数据生成来保护私有数据的效果。

  使用网络加密以防止数据暴露给在监听网络流量或数据静止加密的窥视者(他们关注存储在数据库中的数据)。当数据针对不同的威胁,这些加密方法可以实现相互独立。通常情况下,也不会对应用程序的功能有影响。

  保护关键数据库的结构要按照标准化的变更管理程序来进行。在过去,对生产环境中的计划或其它数据库进行变更时需要关闭数据库,但新版本的数据库管理系统允许在联机时进行这些更改,这就带来了新的安全风险。一个标准化的变更管理程序能确保只有管理员在得到管理部门批准后才能改变生产数据库并且跟踪所有数据库的变更。机构还应该更新自己的备份和可行性计划,以处理数据或元数据因这些变更而发生的改变。

  3、建立具有审计、监测和漏洞评估功能的数据库入侵检测系统

  当重要数据发生意外变化或者检测到可疑数据时,有必要进行一个快速的调查来查看发生了什么事情。数据库里的数据和元数据可以被访问、更改甚至是删除,而且这些都可以在几秒钟的时间内完成。通过数据库审计,我们能够发现“是谁改变了数据”和“这些数据是什么时候被改变的”等问题。为了支持之前提到的管理条例标准,安全和风险管理的专业人士应该追踪私人数据的所有访问途径和变化情况,这些私人数据包括:信用卡卡号、社会安全卡卡号以及重要的数据库的名称和地址等信息。如果私人数据在没有授权的情况下被更改或者被访问,机构应该追究负责人的责任。最后,可以使用漏洞评估报告来确定数据库的安全空白地带,诸如弱效密码、过多的优先访问权、增加数据库管理员以及安全群组监测。

  4、牢记安全政策、安全标准、角色分离和可用性

  数据库安全策略不仅关注审计和监测,它也是一个端到端的过程,致力于减少风险、达到管理条例的要求以及防御来自内部和外部的各种攻击。数据库安全需要把注意力更多地放在填补安全空白、与其他安全政策协作以及使安全方式正式化上。在草拟你的安全策略时,要使你的数据库安全政策与信息安全政策一致;要注意行业安全标准;要强调角色分离;要清楚描述出数据恢复和数据使用的步骤。


作者: kaduo
来源:it168网站
原文标题:四步教你如何完善企业数据库安全政策
相关文章
|
1月前
|
存储 机器学习/深度学习 人工智能
打造企业智能体(AI Agent)的重要技术-向量数据库
本篇介绍的是为通用大模型增加专业业务能力的重要技术:向量数据库
打造企业智能体(AI Agent)的重要技术-向量数据库
|
1月前
|
存储 监控 安全
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
为了提供更好的日志数据服务,360 企业安全浏览器设计了统一运维管理平台,并引入 Apache Doris 替代了 Elasticsearch,实现日志检索与报表分析架构的统一,同时依赖 Doris 优异性能,聚合分析效率呈数量级提升、存储成本下降 60%....为日志数据的可视化和价值发挥提供了坚实的基础。
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
|
7月前
|
存储 缓存 NoSQL
LeveIDB数据库企业项目中的用法
LeveIDB数据库企业项目中的用法
61 0
|
14天前
|
存储 前端开发 小程序
表白墙完善(数据库,前端,后端Servlet),再谈Cookie和Session。以及一个关于Cookie的练习小程序
表白墙完善(数据库,前端,后端Servlet),再谈Cookie和Session。以及一个关于Cookie的练习小程序
|
29天前
|
JavaScript Java 关系型数据库
企业OA管理|基于SprinBoot+vue的企业OA管理系统(源码+数据库+文档)
企业OA管理|基于SprinBoot+vue的企业OA管理系统(源码+数据库+文档)
29 0
|
29天前
|
JavaScript Java 关系型数据库
人事管理|基于SprinBoot+vue的企业人事管理系统(源码+数据库+文档)
人事管理|基于SprinBoot+vue的企业人事管理系统(源码+数据库+文档)
30 0
|
29天前
|
JavaScript Java 关系型数据库
企业资产|企业资产管理系统|基于springboot企业资产管理系统设计与实现(源码+数据库+文档)
企业资产|企业资产管理系统|基于springboot企业资产管理系统设计与实现(源码+数据库+文档)
21 0
|
1月前
|
人工智能 自然语言处理 搜索推荐
如何基于 向量数据库+大语言模型 打造企业专属Chatbot?
此服务结合大模型,打破传统搜索限制,实现实时、精准的知识答疑,提升企业的专业性和效率。
|
1月前
|
SQL 关系型数据库 MySQL
【JavaEE进阶】 数据库连接池与MySQL企业开发规范
【JavaEE进阶】 数据库连接池与MySQL企业开发规范
|
10月前
|
数据库 Android开发 数据库管理
Android使用Room操作SQLite数据库让其变得无比高效和简洁(进一步完善用RecyclerView显示数据库中的数据)
Android使用Room操作SQLite数据库让其变得无比高效和简洁(进一步完善用RecyclerView显示数据库中的数据)
56 0