数据库安全面面观（五）人员控制

（一）前言
（二）信息安全背景下的数据库安全
（三）与数据库安全相关的要素定义
（四）编写数据库安全策略

（五）人员控制

资料来源：《数据库安全指南（2.0版）》
数据库安全联盟（DBSC）
http://www.db-security.org/

对系统实施技术控制并不总能保证系统不受信息安全威胁。这是因为使用、操作和维护技术控制的是人。为了有效应用系统安全控制，必须实施人员控制。因为数据库往往被相当多的内部用户访问，其中许多用户被分配了管理员权限，因此人员控制尤其必要。

在这里，我们提出人员控制，诸如编写安全规则和开展人员培训。

起草规则

为了确定设置系统安全级别的基础，必须实施以下控制。

• 起草系统安全规则。（强制的）

  示例：
  -要求用户签署书面协议（要求遵守安全规则）
  -未经授权禁止用户获取数据库信息
  -禁止用户将数据库信息存储到授权介质以外的任何介质
  -禁止用户写下ID/口令，并让公众/其他人看到
  -禁止任何人同时成为数据库管理员和系统操作人员

• 起草对违规者的处分规则。（强制的）

  示例：
  -在企业规则中规定纪律处分行为
  -对违规者处以罚款

开展培训

为了提高安全意识，防止信息泄露和人为错误导致未经授权的访问，必须实施以下控制。

• 对所有员工和合作伙伴开展培训。（强制的）

  示例：
  -传达信息安全策略
  -制定培训日程
  -准备培训材料

• 跟进这些培训并获取反馈。（推荐的）

  示例：
  -定期评估这些培训的有效性

检查数据库管理活动

为了防止系统管理员和数据库管理员出现人为错误和未经授权的访问，必须实施以下控制。

• 监测涉及最新数据库和技术漏洞公告的安全事件发生情况。（强制的）
• 必须事先授权才能开展管理活动。（强制的）
• 必须日志记录管理活动。（强制的）
• 涉及使用管理员账户的活动必须有两人或多人参与。（推荐的）

• 在访问同一数据库的两个系统管理员之间分割口令。（推荐的）

  示例：
  -分割口令

• 轮换系统管理员。（推荐的）