關系型數(shù)據庫安全策略

關系型數(shù)據庫安全策略制訂基本安全策略0102數(shù)據庫管理和維護策略Content目錄03處理應急事件01

制訂基本安全策略制訂基本安全策略制訂安全策略的第一步是分析要保護的信息所受到的各種威脅并熟悉其風險同其他安全性一樣，數(shù)據庫的安全威脅主要來自三個方面非人為破壞，比如地震等對于非人為破壞，主要只能依靠定期備份或者熱備份等，并在相隔物理距離外保護備份人為的非主動破壞，比如誤操作人為主動破壞，比如黑客入侵安全威脅大體相近，但因實際情況略有不同，這就需要具體情況具體分析制訂基本安全策略物理安全訪問控制帳號管理保證數(shù)據庫服務器基本安全策略兩個方向訪問控制是基本安全性的核心保證物理安全是安全防范的基本比如：Spida蠕蟲僅僅利用了SQLServer數(shù)據庫的最高管理員帳號sa密碼為空而入侵并擴散的比如：是否能夠保證服務器所在網絡的網線、交換機能環(huán)境的物理安全；是否只有數(shù)據庫管理員能夠在物理上接觸數(shù)據庫服務器；是否能夠確保避免通過社會工程學的手段來欺騙或者誘導從而能獲得物理上的訪問能力等等地位內容保證數(shù)據庫所在環(huán)境保證相關網絡的物理安全性密碼策略權限控制用戶認證……主要是從與帳號相關的方面來維護數(shù)據庫的安全性02

數(shù)據庫管理和維護策略數(shù)據庫管理和維護策略2、同時給管理和維護提出新的要求，特別在處理一些實際特殊情況上的規(guī)范什么時候應該為用戶分配一個自己的帳號？是否用戶請求應用要求的時候就為他分配一個新的帳號，如果只是臨時使用呢？用戶權限需要更改的問題？數(shù)據庫服務器的物理搬遷，其備份和恢復問題？數(shù)據庫搬遷過程中是否需要一個臨時數(shù)據庫作替代？如果數(shù)據庫管理員更換了，整個管理是否需要更新？管理和維護策略，主要是指在管理和維護數(shù)據庫過程中需要制訂的一些規(guī)范1、需要遵循前面的基本安全策略數(shù)據庫管理和維護策略定義遵循規(guī)則這些特殊情況包括數(shù)據庫管理和維護策略定期的安全評估是必須的定期查看所有日志和日志記錄機制定期檢查數(shù)據庫服務器以確保安裝了最新的安全修補程序微軟通常會在漏洞出現(xiàn)后及時發(fā)布公告和補丁1、操作系統(tǒng)事件日志2、特定于應用程序的日志3、入侵檢測系統(tǒng)日志通過定期的安全評估能夠了解目前數(shù)據庫安全的現(xiàn)狀，也能很清晰得了解安全策略的執(zhí)行情況通常，評估的內容就是基本安全策略中的項目，以及相關環(huán)境的一些安全漏洞數(shù)據庫的評估檢查更新及公告03

處理應急事件處理應急事件許多安全問題是由人為無意間造成的，可能是因為沒有遵守或不理解更改管理過程，或者對安全設備配置不當一、明確地建立并實施所有策略和步驟小組成員負責處理所有安全事件。每個成員都應有明確定義的職責，以確保能對每一個問題做出及時響應二、建立安全事件響應小組應確保有他們的聯(lián)系人姓名和電話號碼，比如事件響應小組成員的通訊信息。甚至需要地方和國家執(zhí)法機關的詳細信息，有助于確保知道通過什么步驟通報事件和收集證據三、收集整