關(guān)系型數(shù)據(jù)庫安全策略

關(guān)系型數(shù)據(jù)庫安全策略制訂基本安全策略0102數(shù)據(jù)庫管理和維護(hù)策略Content目錄03處理應(yīng)急事件01

制訂基本安全策略制訂基本安全策略制訂安全策略的第一步是分析要保護(hù)的信息所受到的各種威脅并熟悉其風(fēng)險(xiǎn)同其他安全性一樣，數(shù)據(jù)庫的安全威脅主要來自三個(gè)方面非人為破壞，比如地震等對(duì)于非人為破壞，主要只能依靠定期備份或者熱備份等，并在相隔物理距離外保護(hù)備份人為的非主動(dòng)破壞，比如誤操作人為主動(dòng)破壞，比如黑客入侵安全威脅大體相近，但因?qū)嶋H情況略有不同，這就需要具體情況具體分析制訂基本安全策略物理安全訪問控制帳號(hào)管理保證數(shù)據(jù)庫服務(wù)器基本安全策略兩個(gè)方向訪問控制是基本安全性的核心保證物理安全是安全防范的基本比如：Spida蠕蟲僅僅利用了SQLServer數(shù)據(jù)庫的最高管理員帳號(hào)sa密碼為空而入侵并擴(kuò)散的比如：是否能夠保證服務(wù)器所在網(wǎng)絡(luò)的網(wǎng)線、交換機(jī)能環(huán)境的物理安全；是否只有數(shù)據(jù)庫管理員能夠在物理上接觸數(shù)據(jù)庫服務(wù)器；是否能夠確保避免通過社會(huì)工程學(xué)的手段來欺騙或者誘導(dǎo)從而能獲得物理上的訪問能力等等地位內(nèi)容保證數(shù)據(jù)庫所在環(huán)境保證相關(guān)網(wǎng)絡(luò)的物理安全性密碼策略權(quán)限控制用戶認(rèn)證……主要是從與帳號(hào)相關(guān)的方面來維護(hù)數(shù)據(jù)庫的安全性02

數(shù)據(jù)庫管理和維護(hù)策略數(shù)據(jù)庫管理和維護(hù)策略2、同時(shí)給管理和維護(hù)提出新的要求，特別在處理一些實(shí)際特殊情況上的規(guī)范什么時(shí)候應(yīng)該為用戶分配一個(gè)自己的帳號(hào)？是否用戶請(qǐng)求應(yīng)用要求的時(shí)候就為他分配一個(gè)新的帳號(hào)，如果只是臨時(shí)使用呢？用戶權(quán)限需要更改的問題？數(shù)據(jù)庫服務(wù)器的物理搬遷，其備份和恢復(fù)問題？數(shù)據(jù)庫搬遷過程中是否需要一個(gè)臨時(shí)數(shù)據(jù)庫作替代？如果數(shù)據(jù)庫管理員更換了，整個(gè)管理是否需要更新？管理和維護(hù)策略，主要是指在管理和維護(hù)數(shù)據(jù)庫過程中需要制訂的一些規(guī)范1、需要遵循前面的基本安全策略數(shù)據(jù)庫管理和維護(hù)策略定義遵循規(guī)則這些特殊情況包括數(shù)據(jù)庫管理和維護(hù)策略定期的安全評(píng)估是必須的定期查看所有日志和日志記錄機(jī)制定期檢查數(shù)據(jù)庫服務(wù)器以確保安裝了最新的安全修補(bǔ)程序微軟通常會(huì)在漏洞出現(xiàn)后及時(shí)發(fā)布公告和補(bǔ)丁1、操作系統(tǒng)事件日志2、特定于應(yīng)用程序的日志3、入侵檢測系統(tǒng)日志通過定期的安全評(píng)估能夠了解目前數(shù)據(jù)庫安全的現(xiàn)狀，也能很清晰得了解安全策略的執(zhí)行情況通常，評(píng)估的內(nèi)容就是基本安全策略中的項(xiàng)目，以及相關(guān)環(huán)境的一些安全漏洞數(shù)據(jù)庫的評(píng)估檢查更新及公告03

處理應(yīng)急事件處理應(yīng)急事件許多安全問題是由人為無意間造成的，可能是因?yàn)闆]有遵守或不理解更改管理過程，或者對(duì)安全設(shè)備配置不當(dāng)一、明確地建立并實(shí)施所有策略和步驟小組成員負(fù)責(zé)處理所有安全事件。每個(gè)成員都應(yīng)有明確定義的職責(zé)，以確保能對(duì)每一個(gè)問題做出及時(shí)響應(yīng)二、建立安全事件響應(yīng)小組應(yīng)確保有他們的聯(lián)系人姓名和電話號(hào)碼，比如事件響應(yīng)小組成員的通訊信息。甚至需要地方和國家執(zhí)法機(jī)關(guān)的詳細(xì)信息，有助于確保知道通過什么步驟通報(bào)事件和收集證據(jù)三、收集整