需要考慮的數(shù)據(jù)庫(kù)相關(guān)安全政策

在能夠真正影響每個(gè)行業(yè)的所有的政府和行業(yè)規(guī)則中，總有一天會(huì)出現(xiàn)這么一條，要你真正地應(yīng)用一些信息安全政策。你也許已經(jīng)對(duì)密碼和數(shù)據(jù)備份有了一些基本政策。但是還有更多內(nèi)容。所以，如果你的企業(yè)現(xiàn)在才剛剛把它的安全政策放在一起，或者你已經(jīng)意識(shí)到了是時(shí)候需要更新一些東西了，那么這里有幾個(gè)你需要了解的數(shù)據(jù)庫(kù)安全相關(guān)的問題。
    從技術(shù)上來說，為了準(zhǔn)確判斷需要哪個(gè)安全政策，你需要執(zhí)行信息風(fēng)險(xiǎn)評(píng)估。然而，我理解，現(xiàn)實(shí)情況經(jīng)常會(huì)導(dǎo)致其它內(nèi)容。就是說，我可以考慮得很少，如果有的話，但是幾乎很少有不再要求我思考如下數(shù)據(jù)庫(kù)相關(guān)安全政策的環(huán)境出現(xiàn)：
    ·可接受的利用率——什么可以/不可以在數(shù)據(jù)庫(kù)服務(wù)器上完成，例如網(wǎng)絡(luò)瀏覽和安裝/卸載中間件，以及個(gè)人防火墻保護(hù)，還有MSDE, SQL Server Express 2005，以及其它非服務(wù)器系統(tǒng)上的數(shù)據(jù)庫(kù)軟件的安裝。
    ·認(rèn)證控制——對(duì)于數(shù)據(jù)庫(kù)，以及有關(guān)應(yīng)用程序和操作系統(tǒng)來說，包括密碼的要求，多種成分的使用等。
    ·業(yè)務(wù)合作——應(yīng)對(duì)外部承包人、審計(jì)人員、寄存提供者商等，包括合同規(guī)定和應(yīng)用的服務(wù)級(jí)別的協(xié)商。
    ·業(yè)務(wù)連續(xù)性——災(zāi)難恢復(fù)和/或業(yè)務(wù)連續(xù)性計(jì)劃要求可以幫助你的數(shù)據(jù)庫(kù)保持運(yùn)轉(zhuǎn)狀態(tài)，可以訪問。
    ·變更管理——記錄誰(shuí)、為什么、在什么時(shí)候，如何，以及所有相關(guān)的拆除過程。
    ·數(shù)據(jù)備份——什么，什么時(shí)候，以及使用的方法。
    ·數(shù)據(jù)保持和破壞——什么，為什么，使用的方法和時(shí)間線。
    ·加密——不僅覆蓋了靜止的數(shù)據(jù)，例如加密特定的行，還覆蓋了傳輸?shù)臄?shù)據(jù)，例如數(shù)據(jù)庫(kù)服務(wù)器和網(wǎng)絡(luò)應(yīng)用程序之間的TLS。數(shù)據(jù)備份也是覆蓋的一部分。
    ·信息分類——為信息貼上公共、內(nèi)部、機(jī)密等標(biāo)簽。
    ·物理安全——構(gòu)建，數(shù)據(jù)中心和服務(wù)器的安全。
    ·財(cái)產(chǎn)的刪除——服務(wù)器，驅(qū)動(dòng)，磁帶，和其它財(cái)產(chǎn)。
    ·安全測(cè)試和審計(jì)——什么，如何，什么時(shí)候，以及誰(shuí)執(zhí)行的測(cè)試，用的什么工具。
    ·職責(zé)的分隔——用戶，數(shù)據(jù)庫(kù)管理員，安全審計(jì)員，以及其它與數(shù)據(jù)庫(kù)管理有關(guān)的人的角色/職責(zé)。
    ·系統(tǒng)維護(hù)——打補(bǔ)丁，系統(tǒng)清理/清楚和中間件的更新。
    ·系統(tǒng)監(jiān)控和意外事件的響應(yīng)——誰(shuí)，為什么，什么時(shí)候，以及如何進(jìn)行實(shí)時(shí)監(jiān)控和記錄審計(jì)日志，還有為了維護(hù)正式的意外響應(yīng)計(jì)劃所需要的特殊需求。