改善數(shù)據(jù)庫(kù)安全實(shí)踐方案滿足依從性

無(wú)論你公司的管理層是否已經(jīng)注意到了，信息的安全依從性已經(jīng)擺在了那里。似乎各種類型的公司和各個(gè)行業(yè)都以這樣或者那樣的方式包括在內(nèi)。
    你需要遵循無(wú)數(shù)的信息安全規(guī)則，其中包括：
    · 幾乎有30多個(gè)州違反了通知法律
    · HIPAA安全規(guī)則強(qiáng)制對(duì)個(gè)人保健記錄進(jìn)行保護(hù)
    · Gramm-Leach-Bliley Act涵蓋了個(gè)人財(cái)務(wù)信息
    · PCI數(shù)據(jù)安全標(biāo)準(zhǔn)要求商戶對(duì)信用卡信息保密
    實(shí)際上每個(gè)企業(yè)都有更高的信息安全標(biāo)準(zhǔn)
    對(duì)于數(shù)據(jù)庫(kù)管理員或者網(wǎng)絡(luò)管理員來(lái)說(shuō)，這關(guān)系到數(shù)據(jù)庫(kù)的安全，因?yàn)閿?shù)據(jù)庫(kù)即使不是必然的，也是最有可能的，那些法律法規(guī)所關(guān)心的敏感信息的存儲(chǔ)地。數(shù)據(jù)庫(kù)是金庫(kù)，所以它也是你必須要集中精力來(lái)進(jìn)行增強(qiáng)的地方。你有這個(gè)能力為它帶來(lái)正面的改變——無(wú)論是你的企業(yè)還是你的職業(yè)生涯。
    以下是你要保護(hù)你的數(shù)據(jù)庫(kù)所必需的根基：
    遵循要點(diǎn)
    如果你像其它很多人一樣，依從性也許看起來(lái)令人畏懼。這一點(diǎn)當(dāng)你剛開(kāi)始踏上這條路的時(shí)候尤其真實(shí)。與常見(jiàn)的誤解相反，數(shù)據(jù)庫(kù)領(lǐng)域內(nèi)的依從性不僅僅防火墻，字段加密，或者強(qiáng)有力的密碼。
    我們要說(shuō)的是，數(shù)據(jù)庫(kù)安全上下文環(huán)境的基本的依從性需求在你看來(lái)沒(méi)有什么新東西：
    風(fēng)險(xiǎn)評(píng)估會(huì)判斷哪些數(shù)據(jù)容易受到攻擊，需要保護(hù)。
    · 數(shù)據(jù)庫(kù)登錄的認(rèn)證控制
    · 數(shù)據(jù)庫(kù)訪問(wèn)控制權(quán)限和管理員角色
    · 審計(jì)用來(lái)追蹤誰(shuí)做了什么，什么時(shí)候，在哪里，以及如何的日志信息
    · 實(shí)際的安全控制，保護(hù)你的服務(wù)器和數(shù)據(jù)免受實(shí)際的侵犯
    · 安全軟件開(kāi)發(fā)實(shí)踐方案可以防止大多數(shù)數(shù)據(jù)庫(kù)和應(yīng)用程序的弱點(diǎn)成為黑客的入口點(diǎn)——在代碼級(jí)別上
    · 從黑客攻擊嘗試中恢復(fù)過(guò)來(lái)的意外響應(yīng)處理，例如密碼*或者SQL 注入，還有你的數(shù)據(jù)庫(kù)服務(wù)器上惡意軟件的發(fā)作。
    · 快速響應(yīng)的業(yè)務(wù)連續(xù)性處理和到備份系統(tǒng)的錯(cuò)誤恢復(fù);最低程度，也要有程序來(lái)讓你的數(shù)據(jù)庫(kù)保持獨(dú)立運(yùn)行狀態(tài)，以便信息仍然是可以訪問(wèn)的，它的完整性不會(huì)在災(zāi)難期間受損。
    · 正在進(jìn)行的測(cè)試和評(píng)估找出新的內(nèi)容，并了解你的數(shù)據(jù)庫(kù)的弱點(diǎn);這些測(cè)試和評(píng)估也同樣適合支持應(yīng)用程序和底層的操作系統(tǒng)，并且從你的角度給出整體的信息風(fēng)險(xiǎn)。