數據庫是存放數據�、經常是那些高敏感度數據的寶庫��,因此它也毫無疑問的是合規檢查程序的重點區域。幾乎所有的企業合規都會對哪些人����、能在什么時間�����、訪問什么數據庫作出規定,并且需要一個專職人員來管理這些權限�����。本文�����,我們將討論針對數據庫合規的基本數據庫安全要求�,如PCI DSS和HIPAA�,以及為了遵守合規要求用于管理數據庫權限和維護的最佳實踐��。
最常見的五大企業核心數據庫環境是:1����、微軟的SQL Server數據庫�����;2����、IBM的DB2數據庫����;3、MySQL數據庫���;4、Oracle數據庫���;5、Postgres數據庫�。這些數據庫在首次實施安裝時都能夠恰當地配置�、加固�、保護及鎖定。真正的挑戰是理解那些實際上需要到位的重要組件��。這不只是對數據庫本身�,還有容納操作系統和數據庫的服務器。
PCI DSS當前對于數據庫要求有下述明確的控制措施:
◆ 對訪問任意數據庫的所有用戶進行認證。
◆ 所有用戶訪問任何數據庫時����,用戶的查詢和操作(例如移動�、拷貝和刪除)只能通過編程性事務(例如存儲過程)。
◆ 數據庫和應用的配置設置為只限于給DBA(數據庫管理員)的直接用戶訪問或是查詢��。
◆ 對于數據庫應用和相關的應用ID�����,應用ID只能被應用使用,而不能被單獨的用戶或是其它進程使用。
就HIPAA法案來說�����,上述的措施沒有作為HIPAA合規要求的內容特別寫出來��,但是應當看作是用于合規遵從的最佳安全控制組合����,并且最終有助于滿足HIPAA中安全條款的需要�����。具體來說����,HIPAA的規定條款如下:
◆ 確保所有新建���、接收���、維護或是傳輸中的電子個人健康信息(e-PHI)的保密性�、完整性和可用性。
◆ 辨識和防范那些對信息的安全性或完整性來說合理的、可預見的威脅�。
◆ 防范那些合理的��、可預見的、不允許的濫用或是泄漏;并且
◆ 確保他們所有員工的合規性。
此外�����,除了滿足像PCI DSS這樣的合規要求外����,下述是應該考慮的最佳實踐����、可用來確保上面列出的所有數據庫環境的安全。
就運行數據庫的主機的操作系統來說,以下的最佳實踐應該到位:
1���、系統管理員和其他相關的IT人員應該擁有充分的知識、技能并理解所有關鍵操作系統的安全要求�。
2��、當部署操作系統到受管理的服務環境中時,應采用行業領先的配置標準和配套的內部文檔���。
3、在操作系統上應該只啟用那些必需的和安全的服務�����、協議�、守護進程和其它必要的功能。
4���、操作系統上所有不需要的功能和不安全的服務及協議應該有效地禁用。