我在某金融机构的数据中间工作,中间范围在千人摆布,有两、三小我负责信息安然工作。
按照我的工作体味,数据库安然可以从以下几个方面着手:
1、系统层面
系统层面需要存眷的首要有以下几个方面:
1、用户治理。不合的用户具有不合的权限,你可以按照需要设定只有读权限、读写权限的用户,特别用户(近似Linux下的root用户)可以进行系统启停把持,读写用户首要用来进行平常的保护工作。
2、文件治理。就是某些首要的文件需要进行特别的呵护,这需要配合用户来进行实施。
3、暗码治理。暗码需要按期点窜,且不克不及进行过量的测验测验,不然暗码就会被冻结。
4、系统日记。系统日记对系统的首要性是不言而喻的,经由过程日记可以或许解决良多标题问题。
2、数据库层面
每款DBRM系统都具有安然节制功能。权限分派的原则是基于角色的权限节制:将不合的权限grant到不合的role,不合的用户分派到不合的group,最后将不合的role付与不合的group,这应当是比较通用的做法。
3、第三方数据库审计产品
数据库本身就具有了审计的功能,之所以弃之不消,启事是其机能对系统的影响比较大年夜,是以我们选择了第三方产品。数据库审计产品可以审计select、update等数据库行动,假定发现数据库有异常行动,便可经由过程该产品查找相干信息。
其实此刻数据库安然面对的标题问题很大年夜程度上不是外在身分,而是某些用户看到或点窜了其权限以外的数据,即用户信息泄漏,这点很值得正视。我们所采取的编制是权责分明:利用人员和运维人员权限分隔,从系统和利用两个维度对权限进行节制,从上述三个层面慢慢细化。
从整体上来讲,数据库安然并没有多少新意,我工作两年时候还真没有发现严重的安然标题问题。虽然如斯,我们仍是有应对预案,其思路就是从系统的日记进手,然后定位用户,经由过程用户查找该用户的相干行动,从而定位真实的标题问题。
启明星斗公司数据库审计专家点评
作者对数据库安然的理解比较周全,列举了根基的安然办法,并重点夸大年夜了数据库安然两个很是首要的方面:权限节制和审计。其思虑角度和安然建议值得借鉴,假定能再深进系统的阐述一下,结果会更好。