返回renou2012的回答
网络控制
数据库服务器区域,应用服务器区域,其他设备区域的隔离,同时还包括办公网络的隔离
数据库防火墙的使用,所有操作必须走相应的设备,禁止直连操作
网络防火墙禁止对主机,数据库的ping操作
网络防火墙禁止服务器区域的端口扫描
网络防火墙的准入策略
其他安全设备的监控,报警,入侵防御等数据库帐号密码控制
禁止使用默认的账号命名,比如说admin、dba、app等名称
对于应用做到专用账号,不混用,即使是读写分离的账号也需要做好账号专用
密码的复杂度,建议讲密码策略调至
密码的定期+不定期修改,密码过期策略
密码的保存策略数据库连接控制
数据库本身的多重验证比如SSL验证
限定ip地址的访问
限定设备的访问
限定时间的访问
限制端口访问,根据自己的规则修改默认的端口数据库权限控制
加强数据库账户的权限审核和记录
定期不定期检查数据库账号的权限复核检查
及时回收不需要的数据库权限
禁止级联权限的存在
同时加强对于权限人员的管控,防止泄漏数据库日志的记录
这部分还包括所有其他日志,做到日志的定期归档,分析数据库审计控制
针对所有账号进行的所有操作都必须进行审计和监控,一个收集操作记录,同时也可以审查高危或者可疑操作针对敏感数据
做好敏感数据的脱敏操作,还有就是敏感数据的操作记录,特别是大批量的数据导出还有其他安全设备的使用