(一)前言
(二)信息安全背景下的数据库安全
(三)与数据库安全相关的要素定义
(四)编写数据库安全策略
(五)人员控制
资料来源:《数据库安全指南(2.0版)》
数据库安全联盟(DBSC)
http://www.db-security.org/
对系统实施技术控制并不总能保证系统不受信息安全威胁。这是因为使用、操作和维护技术控制的是人。为了有效应用系统安全控制,必须实施人员控制。因为数据库往往被相当多的内部用户访问,其中许多用户被分配了管理员权限,因此人员控制尤其必要。
在这里,我们提出人员控制,诸如编写安全规则和开展人员培训。
起草规则
为了确定设置系统安全级别的基础,必须实施以下控制。
起草系统安全规则。(强制的)
示例:
-要求用户签署书面协议(要求遵守安全规则)
-未经授权禁止用户获取数据库信息
-禁止用户将数据库信息存储到授权介质以外的任何介质
-禁止用户写下ID/口令,并让公众/其他人看到
-禁止任何人同时成为数据库管理员和系统操作人员
起草对违规者的处分规则。(强制的)
示例:
-在企业规则中规定纪律处分行为
-对违规者处以罚款
开展培训
为了提高安全意识,防止信息泄露和人为错误导致未经授权的访问,必须实施以下控制。
对所有员工和合作伙伴开展培训。(强制的)
示例:
-传达信息安全策略
-制定培训日程
-准备培训材料
跟进这些培训并获取反馈。(推荐的)
示例:
-定期评估这些培训的有效性
检查数据库管理活动
为了防止系统管理员和数据库管理员出现人为错误和未经授权的访问,必须实施以下控制。
在访问同一数据库的两个系统管理员之间分割口令。(推荐的)
示例:
-分割口令
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞0
添加新评论0 条评论