atitit.信息安全的控制總結o7

atitit.信息安全的控制總結o7

 

1. 信息安全覆蓋很是多的內容： 1

2. #內部人員致使的安全風險 1

3. #對敏感的數據進行透明的加密 2

4. #安全防禦 2

5. #經過數據安全域保護關鍵業務數據 2

6. #實施安全規則與多元素受權 3

7. #數據庫安全審計的考慮 3

8. #創建集中的數據庫審計平臺 3

9. 別的法 3

 

1. 信息安全覆蓋很是多的內容：

身份認證及單點登陸

網絡傳輸加密

防病毒

數據的加密/解密存儲

數據記錄級的訪問控制

內部控制

命令的安全規則引擎

集中安全審計

安全規範與本身主動安全評估(ftp、password、port、補丁…)

……

已經實施了安全防禦project，創建了完整的CA體系，配置了屏蔽機房、防火牆、入侵檢測、防病毒、網閘等安全防禦機制

制定了一套安全管理規範。如操做系統、數據庫的usernamepassword管理，以及對ftp、telnet、特定操做的IP地址等進行了限制

提供網絡傳輸加密、安全審計等的功能，在操做系統和網絡層面進行嚴格的安全審計

某些應用系統的維護，經過開發商共同運維，而僅靠管理制度沒法全然杜絕安全隱患

 

 

做者:: 老哇的爪子 Attilax 艾龍。  EMAIL:1466519819@qq.com

轉載請註明來源： http://blog.csdn.net/attilax

 

2. #內部人員致使的安全風險 

內部的維護人員把整個數據庫中的數據備份帶走

高權限用戶（如root、DBA）的錯誤操做。刪除或損壞了關鍵的業務數據

系統維護人員或高權限的超級用戶。私自在後臺查看、竊取、甚至惡意破壞業務數據

內部人員違規改動業務數據、或業務人員越權訪問數據及應用

饒過應用程序去直接訪問數據庫中的數據

高權限用戶（如root、DBA）刪除、改動審計數據

…

 

3. #對敏感的數據進行透明的加密

對敏感數據列、文件、圖形圖象等實現加密存儲

幫助符合私密性及法規控制

SB 1386, CISP/PCI, SOX

防止數據文件被非法拷貝和備份而致使泄密

數據寫到磁盤時本身主動加密存儲，從磁盤讀取時本身主動解密，相應用全然透明。減小應用開發、維護成本

 

 

4. #安全防禦

網絡安全防禦，主要對外部的入侵進行防禦。審計主要是安全事故的過後管理而沒法積極地防控

前面提到，80%的數據丟失是內部形成的

需要限制DBA查看、改動、竊取應用數據的權利，好比，業務維護人員僅僅能維護本身相關的後臺數據，而沒法備份、清空、導出數據等

內部控制、安全域。實現職責分離和防止越權訪問數據

多因素受權、基於安全規則的受權。定製和強制實施個性化的安全規則

提供具體的安全違規報告，用於法規審計

相應用透明、無需更改現有的應用程序

 

 

 

5. #經過數據安全域保護關鍵業務數據

數據庫的安全領域可以把應用或一組數據庫對象封閉到保護區內

數據庫DBA查看申報數據

增強內部控制，尤爲是超級管理員用戶，好比：爲生產數據創建安全域後，DBA將沒法查看、篡改和破壞登記、申報徵收數據

生產管理超級用戶查看財務業務數據

崗責分離，實施數據安全域後，業務人員將沒法跨業務越權訪問數據

 

6. #實施安全規則與多元素受權

安全規則的做用是依據特定的環境或決策要素（如：機器的IP地址、操做時間和驗證模式等）進一步對數據庫操做加以限制

基於IP地址的規則將阻止未經受權的遠程操做

操做員不在正常上班時間運行未經受權的操做

基於日期和時間的規則將阻止未經受權的操做

 

 

7. #數據庫安全審計的考慮

數據庫的審計和安全管控相同重要

針對重點數據進行審計，從而下降對性能的影響。好比。僅僅針對營業額超過1000萬的納稅人的信息操做進行審計

數據中心。可能存在多套數據庫系統

需要高速、本身主動地採集審計數據

防止出現審計信息孤島(漏審)

需要高速整合審計數據、生成審計報告

提供預警

保護審計數據自己的安全性、防止審計數據自己被黑客、DBA或高權限人員破壞、刪除

 

 

 

8. #創建集中的數據庫審計平臺

9. 別的法

web的安全除了常規的sql注射,xss,CSRF避免,仍是有不少的特別的的防範 1.站點後臺管理程序不要和前臺程序放在同一個server上...後臺管理程序最好不使用web,而是CS方式... 2.數據庫跟站點webserver不要放在同一個server上,避免主機管理員接觸到數據庫..而且避免數據庫管理員接觸到站點程序.. 3.訂單程序使用編譯型語言java寫,避免使用php等明文語言..很重要的的核心程序可以使用c++... 2.數據庫server和站點server的通訊要使用ssl加密,,這個普通的數據庫都可以設置的.. 3.訂單數據要加密保存....這樣可以避免數據庫管理員看見數據.. 4.通常訂單數據加密後是很是安全的...但是當前不少的定貨庫是非加密的,全變化爲加密數據更改程序大的..可以只加密金額等字段.. 5.金額等重要字段還可以加入md5簽名來保證安全,這樣數據庫管理員更改字段也可以發現,訂單程序就會本身主動檢測到非法改動並且鎖定.. 6.對於能同一時候接觸到程序和數據庫的成員的防範,需要添加還有一個數據庫作爲回溯安全數據庫..訂單正常使用的時候兒,解密,再作簽名比較,最後,和回溯安全數據庫比較,來保證安全...