改善數(shù)據(jù)庫安全實(shí)踐方案滿足依從性

無論你公司的管理層是否已經(jīng)注意到了，信息的安全依從性已經(jīng)擺在了那里。似乎各種類型的公司和各個(gè)行業(yè)都以這樣或者那樣的方式包括在內(nèi)。
    你需要遵循無數(shù)的信息安全規(guī)則，其中包括：
    · 幾乎有30多個(gè)州違反了通知法律
    · HIPAA安全規(guī)則強(qiáng)制對個(gè)人保健記錄進(jìn)行保護(hù)
    · Gramm-Leach-Bliley Act涵蓋了個(gè)人財(cái)務(wù)信息
    · PCI數(shù)據(jù)安全標(biāo)準(zhǔn)要求商戶對信用卡信息保密
    實(shí)際上每個(gè)企業(yè)都有更高的信息安全標(biāo)準(zhǔn)
    對于數(shù)據(jù)庫管理員或者網(wǎng)絡(luò)管理員來說，這關(guān)系到數(shù)據(jù)庫的安全，因?yàn)閿?shù)據(jù)庫即使不是必然的，也是最有可能的，那些法律法規(guī)所關(guān)心的敏感信息的存儲地。數(shù)據(jù)庫是金庫，所以它也是你必須要集中精力來進(jìn)行增強(qiáng)的地方。你有這個(gè)能力為它帶來正面的改變——無論是你的企業(yè)還是你的職業(yè)生涯。
    以下是你要保護(hù)你的數(shù)據(jù)庫所必需的根基：
    遵循要點(diǎn)
    如果你像其它很多人一樣，依從性也許看起來令人畏懼。這一點(diǎn)當(dāng)你剛開始踏上這條路的時(shí)候尤其真實(shí)。與常見的誤解相反，數(shù)據(jù)庫領(lǐng)域內(nèi)的依從性不僅僅防火墻，字段加密，或者強(qiáng)有力的密碼。
    我們要說的是，數(shù)據(jù)庫安全上下文環(huán)境的基本的依從性需求在你看來沒有什么新東西：
    風(fēng)險(xiǎn)評估會判斷哪些數(shù)據(jù)容易受到攻擊，需要保護(hù)。
    · 數(shù)據(jù)庫登錄的認(rèn)證控制
    · 數(shù)據(jù)庫訪問控制權(quán)限和管理員角色
    · 審計(jì)用來追蹤誰做了什么，什么時(shí)候，在哪里，以及如何的日志信息
    · 實(shí)際的安全控制，保護(hù)你的服務(wù)器和數(shù)據(jù)免受實(shí)際的侵犯
    · 安全軟件開發(fā)實(shí)踐方案可以防止大多數(shù)數(shù)據(jù)庫和應(yīng)用程序的弱點(diǎn)成為黑客的入口點(diǎn)——在代碼級別上
    · 從黑客攻擊嘗試中恢復(fù)過來的意外響應(yīng)處理，例如密碼*或者SQL 注入，還有你的數(shù)據(jù)庫服務(wù)器上惡意軟件的發(fā)作。
    · 快速響應(yīng)的業(yè)務(wù)連續(xù)性處理和到備份系統(tǒng)的錯(cuò)誤恢復(fù);最低程度，也要有程序來讓你的數(shù)據(jù)庫保持獨(dú)立運(yùn)行狀態(tài)，以便信息仍然是可以訪問的，它的完整性不會在災(zāi)難期間受損。
    · 正在進(jìn)行的測試和評估找出新的內(nèi)容，并了解你的數(shù)據(jù)庫的弱點(diǎn);這些測試和評估也同樣適合支持應(yīng)用程序和底層的操作系統(tǒng)，并且從你的角度給出整體的信息風(fēng)險(xiǎn)。