企業數據庫合規的最佳實踐

PCI DSS當前對於數據庫要求有下述明確的控制措施：

 

　　• 對訪問任意數據庫的全部用戶進行認證。
• 全部用戶訪問任何數據庫時，用戶的查詢和操做（例如移動、拷貝和刪除）只能經過編程性事務（例如存儲過程）。
• 數據庫和應用的配置設置爲只限於給DBA（數據庫管理員）的直接用戶訪問或是查詢。
• 對於數據庫應用和相關的應用ID，應用ID只能被應用使用，而不能被單獨的用戶或是其它進程使用。

就運行數據庫的主機的操做系統來講，如下的最佳實踐應該到位：

 

　　1. 系統管理員和其餘相關的IT人員應該擁有充分的知識、技能並理解全部關鍵操做系統的安全要求。

 

　　2. 當部署操做系統到受管理的服務環境中時，應採用行業領先的配置標準和配套的內部文檔。

 

　　3. 在操做系統上應該只啓用那些必需的和安全的服務、協議、守護進程和其它必要的功能。

 

　　4. 操做系統上全部不須要的功能和不安全的服務及協議應該有效地禁用。

 

　　5. Root賬戶應該選擇惟一的密碼進行恰當地防禦並按期更換。

 

　　6. Root賬戶應只限於須要的最少的人知道。

 

　　7. 應該將Syslog配置爲文件發送和syslog數據複製到一臺集中的syslog服務器，從而用來評審日誌信息。

 

　　8. 「最小權限」的準則，即聲明只應賦予用戶可以有效地和正常地完成他們工做所需的權限，在考慮操做系統的訪問權限時應當考慮。

 

　　9. 應該保證操做系統應用了全部相關的和關鍵的安全補丁。

 

　　對於實際的數據庫自己，推薦如下的最佳實踐：

 

　　1. 應當有恰當的人員維護和更新用戶名單，其中這些用戶能夠訪問受管理的應用服務環境中數據庫。

 

　　2. 系統管理員和其餘相關的IT人員應該有充分的知識、技能並理解全部的關鍵的數據庫安全要求。

 

　　3. 當部署數據庫到受管服務環境中時，應該採用行業領先的配置標準和配套的內部文檔。

 

　　4. 對於數據庫功能不須要的默認用戶賬戶，應該鎖定或是作過時處理。

 

　　5. 對於全部仍在使用中的默認用戶賬戶，應該主動地變動密碼以採用強密碼措施。

 

　　6. 應該給數據庫內的管理員賬戶分配不一樣的密碼，這些賬戶不該使用共享密碼或組密碼。

 

　　7. 措施要到位，用於保護數據字典以及描述數據庫中全部對象的支持性元數據。

 

　　8. 對於任何訪問數據庫的基於主機的認證措施，應當有足夠的適當的過程來確保這種訪問類型的總體安全。

 

　　9. 數據庫監控應到位，由可以根據須要對相關的人員進行告警的工具組成。

 

　　10. 保證數據庫應用了全部相關的和關鍵的安全補丁。