为察觉外部安全威胁,在60余个业务中应用了DB快速检查系统,内部人员追加使用了门禁系统。此次下一代DB安全系统构建过程中,掌握公共账户使用现状将成为可能。即使职员没有DB方面的知识,在这种环境下有恶意的DB攻击、信息泄露危险,需要通过DB安全系统进行更改,本案例中将其果断更改。......
2023-11-16
数据库安全构建阶段检视要点
【摘要】:从有效的DB安全构建事前准备阶段开始,到建成运营,DB安全组织必须通过进行如下事项,使DB安全能够成功导入、应用和构建。1) DB安全企划阶段构建DB安全要建立基本企划,这是开发DB安全政策和方针、指南等的阶段。3) DB安全构建阶段构建阶段是根据设计阶段的实施结果,在现实中具体实现并测试各技术要素的阶段。分析弱点的改善程度,持续确认DB相关的安全性也是运营阶段中的重要事项。
从有效的DB安全构建事前准备阶段开始,到建成运营,DB安全组织必须通过进行如下事项,使DB安全能够成功导入、应用和构建。
(1)为DB安全选定要导入应用的技术要素,定义选择标准,据此决定导入应用的技术要素对象。
(2)构建技术要素,在导入决定和解决方案时,为选定合适的解决方案,要定义评价标准,据此选定公平细致的评价及最佳解决方案。
(3)为提高公司全体员工的认识标准及促进DB安全顺利构建,要进行DB安全必要性、DB安全事故案例教育等认识转变教育。
(4)为导入技术要素相关的解决方案,进行发单管理及预算管理等。
因此,作为长期的基本检视项目,数据库安全必须经过企划、设计、构建、运营等全部过程,按不同阶段进行详细检视。
1) DB安全企划阶段
构建DB安全要建立基本企划,这是开发DB安全政策和方针、指南等的阶段。为此识别并分类安全对象数据,为DB安全定义原则、方针等,要定义负责DB安全的组织构成和作用、责任等。还有改善、补全DB安全政策内容的流程,DB安全技术要素相关的内容或技术要素的改善、补全、更改、追加等相关流程,运营DB安全管制的流程等都包含在DB安全方针、指南里。要能够让企业及组织全体成员明确理解并遵守DB安全政策、方针、指南等,以此为目标进行教育。与此相同,在DB安全构建、运营过程中,必要的教育种类、对象、实行责任等教育关联事项等,也是应该包含在DB安全政策、方针、指南等中的内容。包含DB安全政策、方针、指南等的开发,随着DB安全技术要素相关的导入、构建流程和日程,选定实施责任人,导入、构建DB安全技术要素,定义执行组织构成和作用、责任,选定必要的教育并确定日程等,是企划阶段已实现的DB安全构建计划中包含的主要内容。企划阶段的主要检视事项有如下两个方面。
(1) DB安全构筑计划及应用范围。
(2) DB安全政策、方针、指南、教育计划等。
2) DB安全设计阶段
设计阶段是为实现如DB访问控制规则、DB操作决策规则等各技术要素,定义详细规则并设立实验计划的阶段。DB访问限制相关设计阶段的主要实施内容是通过访问限制规则定义,这里有关用户认证、登录、SQL控制、联机、信息、SQL伪装(masking)等的信息规则必须经过定义,定义监控指标和确定信息运营方案的内容也包含在内。
DB加密相关设计阶段的主要实施内容是制订要赋予译码权限的对象和其权限的管理方法,制订秘钥及算法等。
DB操作决策相关设计阶段的主要实施内容是通过制订操作决策规则,在此需定义决策通道和决策规则,决策内容的联机方案等,DB操作决策的实现情况或定义其记录相关的监控指标,确立详细运营方案等内容都包含在内。
DB弱点分析相关设计阶段的主要实施内容是通过确立弱点分析计划,在此DB环境构成和其管理、账户管理、密码管理、权限管理、认证管理、远程访问管理等相关弱点分析的计划都包含在内。设计阶段的主要检视事项有如下两个方面。
(1) (不同技术要素)设计书。(www.chuimin.cn)
(2) (不同技术要素)实验计划书。
3) DB安全构建阶段
构建阶段是根据设计阶段的实施结果,在现实中具体实现并测试各技术要素的阶段。DB访问控制相关构建阶段的主要实施内容是具体实现设计好的访问控制规则,防止迂回访问,探讨并补全具体实现环境,通过安全应用测试,确认迂回访问的可能性和迂回访问方案的可信度。
DB加密相关构建阶段的主要实施内容是根据设计阶段的实施结果进行对象数据的加密,将加密的数据与原数据对照,确认密码门的可信度,在DB中删除原数据,去除原对象数据担负的关于访问流出的解读可能。并且,还包括维护DB加密管理制约事项、管理秘钥、探讨补全与此相关的具体实现环境,通过安全应用测试,检查加密数据是否可解读等内容。
DB操作决策相关构建阶段的主要实施内容是根据设计内容,具体实现操作决策流程,防止迂回决策,探讨补全相关环境,通过安全应用测试,确认迂回决策的可能性与操作决策功能的可信度等内容。
DB弱点分析相关构建阶段的主要实施内容是根据设计阶段确立的弱点分析计划,进行模拟黑客袭击,确认有无弱点,并排除发现的弱点。而且在应用解决方案时,弱点确定和追加弱点自动在DB弱点分析中是否有所反映,还要为确认前者进行弱点分析测试等。而且为确认有无利用弱点进行的非许可访问等还要进行内部安全检查。构建阶段的主要检视事项有如下两个方面。
(1)(不同技术要素)实验结果书。
(2) (不同技术要素)实现明细书。
4) DB安全运营阶段
运营阶段要监控具体实现的技术要素的运行状态及结果,导出并实行补全、改善,是与此相关的安全规则的维护及管理阶段。在运营阶段,为持续维护和改善、补全具体实现的技术要素,主要应实现技术性、管理性的安全。
运营阶段的主要实施内容与访问控制规则、操作决策规则等一样,根据设计阶段的制订内容,维护、管理具体实现的安全规则,应用安全规则相关的变更、改善、补全等控制流程,管理其他变更记录,也包含生成、维护备份安全规则的内容,以及检视用户记录并分析,确认有无不适当尝试或赋予权限的适当性等,监控具体实现的技术要素的运作状态。必须检查登录记录或运营报告书、检视结果等,进行导出调整、改善事项的管理活动。
必须持续收集弱点并反映在现有的弱点名单上,进行检视及弱点排除。分析弱点的改善程度,持续确认DB相关的安全性也是运营阶段中的重要事项。为此,在运营阶段中,必须将全部要检视的事项做成检视表,随时或定期进行检视,不遗漏重要检视事项,确认全部检视事项得到系统性确认和管理。运营阶段的主要检视事项有如下两个方面。
(1) DB安全检视表及检视结果。
(2) (不同技术要素)运营报告书。
有关数据质量管理与安全管理的文章
- 详细阅读
-
数据库安全构建的理解:数据质量管理与安全管理详细阅读
为保证有效的DB安全,导入并构建商用化的专业安全解决方案。另外,通过数据加密的处置方式,揭示了对数据进行伪装处理的技术,但因为有安全性限制,要满足数据加密的相关安全要求事项十分困难。据此,探讨DB安全解决方案导入的用户们抛弃现有充满怀疑的成见,有望以积极的态度理解不同安全产品的特性并结合内部环境选择解决方案。......
2023-11-16
-
学车考证:涉水安全驾驶要点详细阅读
A.特别注意减速慢行B.迅速加速通过C.低档加速通过D.保持正常车速通过 答案:A5.驾驶机动车欲通过漫水桥时,停车观察水情确认安全后,应怎样通过?因此,驾驶人要间断轻踩制动踏板,以恢复制动效能。答案:√5.驾驶机动车通过漫水路时,驾驶人要挂低速档匀速通过。......
2023-10-06
-
数据库性能管理-项目阶段优化详细阅读
1)分析阶段在分析阶段进行分析时需考虑整体性能和稳定性,此时业务流程优化、系统结构设置、容量计算非常重要。在业务流程优化期间,系统进行电算化的同时改善低效率流程,以提高整体性能。2)设计阶段相比逻辑性设计,在进行数据物理设计时需要考虑与性能相关的操作。4)测试和运行阶段最后的测试和运行阶段可执行的操作包括应用程序调优、数据库调优、OS调优等。图1-1按项目阶段进行数据库性能管理......
2023-11-01
-
地下结构回筑阶段施工安全控制详细阅读
③内支撑拆除应小心操作,不得损伤主体结构。5)分隔墙拆除分隔墙拆除在相邻两个基坑地下结构回筑完成且结构换撑完成后进行,按进度计划确定地下连续墙拆除先后顺序,确定该区域拆除工程量及区段拆除流程;每区段按跳仓拆除原则施工,每仓位置自上而下拆除地下连续墙,每仓位置自下而上结构补缺。待整个地下结构全部施工完毕,形成整体刚度,并在基坑周边密实回填之后,方可拆除结构缺失区域的换撑。......
2023-10-09
-
施工准备阶段安全管理细节详细阅读
5)检查施工现场安全生产保证体系①承包单位现场安全生产管理机构的建立应符合相关规定,安全管理目标应明确,并符合合同的约定。②承包单位应建立健全施工安全生产责任制度、安全检查制度和事故报告制度。承包单位项目经理汇报施工准备工作时,应包括现场的安全生产准备情况。......
2023-09-27
-
信息安全概述:章节要点详细阅读
网络与信息的安全性问题实际上包括两方面的内容。在这份文件存在的生命周期内,有无数可能会导致信息安全的问题。要实现这个目标,一个组织必须制定严格的、系统的安全保密办法来保证信息安全,包括高层领导授权、保密政策、实施办法、监督检查制度、员工安全意识培训、可靠的技术设备等,也就是要使构成安全防范体系的这只“木桶”的所有木板拥有相近的长度。......
2023-11-01
- 详细阅读
相关推荐