我们网络设计的最初期就是打算把财务相关业务的服务器和客户机全部隔离,让客户机只能和财务服务器通讯,无法访问其他互联网资源的,不过并没有得到上层领导的支持。理由是财务人员需要上网办公,搞两套机器投资大,操作不方便。
这个事情我印象深刻,很多时候我们的安全问题来源于管理制度的疏忽,现在我们的数据暴露在内部网络中全员可以访问。之前也发生过被篡改的事件,而且怀疑是内部人为的。那时候我们提出增加数据库审计设备来对数据库监管,但也被否决了。理由是资金紧张,对于企业的投资者。安全保障更多的像是买保险,可能很久也看不到这东西的汇报。他们却从未想过一次数据事故对企业有可能就是致命的打击。
按我现在的设想,我觉得数据安全可以做一下几部
1,分离数据库与内部网访问,数据库在中间件后面。只能通过中间件调用和访问。杜绝用户可以直接访问到数据库,
2,建造合理的数据库安全策略。加固数据库服务器。
3,增加数据库审计设备,对数据库的所有操作进行监控。
4,建立严格的数据库管理使用制度。细化操作人员权限,对于人员流动大的企业即使回收人员操作权限。
庞大的系统很难做到滴水不漏,任何系统安全都没有绝对的,只能说尽量去按规范严格操作,降低发生数据泄漏的几率,做好数据备份,审计,让数据发生事故后可以补救。