數(shù)據(jù)庫是存放數(shù)據(jù)、經(jīng)常是那些高敏感度數(shù)據(jù)的寶庫,因此它也毫無疑問的是合規(guī)檢查程序的重點區(qū)域。幾乎所有的企業(yè)合規(guī)都會對哪些人、能在什么時間、訪問什么數(shù)據(jù)庫作出規(guī)定,并且需要一個專職人員來管理這些權(quán)限。本文,我們將討論針對數(shù)據(jù)庫合規(guī)的基本數(shù)據(jù)庫安全要求,如PCI DSS和HIPAA,以及為了遵守合規(guī)要求用于管理數(shù)據(jù)庫權(quán)限和維護的最佳實踐。
最常見的五大企業(yè)核心數(shù)據(jù)庫環(huán)境是:1、微軟的SQL Server數(shù)據(jù)庫;2、IBM的DB2數(shù)據(jù)庫;3、MySQL數(shù)據(jù)庫;4、Oracle數(shù)據(jù)庫;5、Postgres數(shù)據(jù)庫。這些數(shù)據(jù)庫在首次實施安裝時都能夠恰當(dāng)?shù)嘏渲谩⒓庸獭⒈Wo及鎖定。真正的挑戰(zhàn)是理解那些實際上需要到位的重要組件。這不只是對數(shù)據(jù)庫本身,還有容納操作系統(tǒng)和數(shù)據(jù)庫的服務(wù)器。
PCI DSS當(dāng)前對于數(shù)據(jù)庫要求有下述明確的控制措施:
◆ 對訪問任意數(shù)據(jù)庫的所有用戶進(jìn)行認(rèn)證。
◆ 所有用戶訪問任何數(shù)據(jù)庫時,用戶的查詢和操作(例如移動、拷貝和刪除)只能通過編程性事務(wù)(例如存儲過程)。
◆ 數(shù)據(jù)庫和應(yīng)用的配置設(shè)置為只限于給DBA(數(shù)據(jù)庫管理員)的直接用戶訪問或是查詢。
◆ 對于數(shù)據(jù)庫應(yīng)用和相關(guān)的應(yīng)用ID,應(yīng)用ID只能被應(yīng)用使用,而不能被單獨的用戶或是其它進(jìn)程使用。
就HIPAA法案來說,上述的措施沒有作為HIPAA合規(guī)要求的內(nèi)容特別寫出來,但是應(yīng)當(dāng)看作是用于合規(guī)遵從的最佳安全控制組合,并且最終有助于滿足HIPAA中安全條款的需要。具體來說,HIPAA的規(guī)定條款如下:
◆ 確保所有新建、接收、維護或是傳輸中的電子個人健康信息(e-PHI)的保密性、完整性和可用性。
◆ 辨識和防范那些對信息的安全性或完整性來說合理的、可預(yù)見的威脅。
◆ 防范那些合理的、可預(yù)見的、不允許的濫用或是泄漏;并且
◆ 確保他們所有員工的合規(guī)性。
此外,除了滿足像PCI DSS這樣的合規(guī)要求外,下述是應(yīng)該考慮的最佳實踐、可用來確保上面列出的所有數(shù)據(jù)庫環(huán)境的安全。
就運行數(shù)據(jù)庫的主機的操作系統(tǒng)來說,以下的最佳實踐應(yīng)該到位:
1、系統(tǒng)管理員和其他相關(guān)的IT人員應(yīng)該擁有充分的知識、技能并理解所有關(guān)鍵操作系統(tǒng)的安全要求。
2、當(dāng)部署操作系統(tǒng)到受管理的服務(wù)環(huán)境中時,應(yīng)采用行業(yè)領(lǐng)先的配置標(biāo)準(zhǔn)和配套的內(nèi)部文檔。
3、在操作系統(tǒng)上應(yīng)該只啟用那些必需的和安全的服務(wù)、協(xié)議、守護進(jìn)程和其它必要的功能。
4、操作系統(tǒng)上所有不需要的功能和不安全的服務(wù)及協(xié)議應(yīng)該有效地禁用。