atitit.信息安全的控制总结o7

atitit.信息安全的控制总结o7

 

1. 信息安全覆盖很是多的内容： 1

2. #内部人员致使的安全风险 1

3. #对敏感的数据进行透明的加密 2

4. #安全防御 2

5. #经过数据安全域保护关键业务数据 2

6. #实施安全规则与多元素受权 3

7. #数据库安全审计的考虑 3

8. #创建集中的数据库审计平台 3

9. 别的法 3

 

1. 信息安全覆盖很是多的内容：

身份认证及单点登陆

网络传输加密

防病毒

数据的加密/解密存储

数据记录级的訪问控制

内部控制

命令的安全规则引擎

集中安全审计

安全规范与本身主动安全评估(ftp、password、port、补丁…)

……

已经实施了安全防御project，创建了完整的CA体系，配置了屏蔽机房、防火墙、入侵检測、防病毒、网闸等安全防御机制

制定了一套安全管理规范。如操做系统、数据库的usernamepassword管理，以及对ftp、telnet、特定操做的IP地址等进行了限制

提供网络传输加密、安全审计等的功能，在操做系统和网络层面进行严格的安全审计

某些应用系统的维护，经过开发商共同运维，而仅靠管理制度没法全然杜绝安全隐患

 

 

做者:: 老哇的爪子 Attilax 艾龙。  EMAIL:1466519819@qq.com

转载请注明来源： http://blog.csdn.net/attilax

 

2. #内部人员致使的安全风险 

内部的维护人员把整个数据库中的数据备份带走

高权限用户（如root、DBA）的错误操做。删除或损坏了关键的业务数据

系统维护人员或高权限的超级用户。私自在后台查看、窃取、甚至恶意破坏业务数据

内部人员违规改动业务数据、或业务人员越权訪问数据及应用

饶过应用程序去直接訪问数据库中的数据

高权限用户（如root、DBA）删除、改动审计数据

…

 

3. #对敏感的数据进行透明的加密

对敏感数据列、文件、图形图象等实现加密存储

帮助符合私密性及法规控制

SB 1386, CISP/PCI, SOX

防止数据文件被非法拷贝和备份而致使泄密

数据写到磁盘时本身主动加密存储，从磁盘读取时本身主动解密，相应用全然透明。减小应用开发、维护成本

 

 

4. #安全防御

网络安全防御，主要对外部的入侵进行防御。审计主要是安全事故的过后管理而没法积极地防控

前面提到，80%的数据丢失是内部形成的

需要限制DBA查看、改动、窃取应用数据的权利，好比，业务维护人员仅仅能维护本身相关的后台数据，而没法备份、清空、导出数据等

内部控制、安全域。实现职责分离和防止越权訪问数据

多因素受权、基于安全规则的受权。定制和强制实施个性化的安全规则

提供具体的安全违规报告，用于法规审计

相应用透明、无需更改现有的应用程序

 

 

 

5. #经过数据安全域保护关键业务数据

数据库的安全领域可以把应用或一组数据库对象封闭到保护区内

数据库DBA查看申报数据

增强内部控制，尤为是超级管理员用户，好比：为生产数据创建安全域后，DBA将没法查看、篡改和破坏登记、申报征收数据

生产管理超级用户查看財务业务数据

岗责分离，实施数据安全域后，业务人员将没法跨业务越权訪问数据

 

6. #实施安全规则与多元素受权

安全规则的做用是依据特定的环境或决策要素（如：机器的IP地址、操做时间和验证模式等）进一步对数据库操做加以限制

基于IP地址的规则将阻止未经受权的远程操做

操做员不在正常上班时间运行未经受权的操做

基于日期和时间的规则将阻止未经受权的操做

 

 

7. #数据库安全审计的考虑

数据库的审计和安全管控相同重要

针对重点数据进行审计，从而下降对性能的影响。好比。仅仅针对营业额超过1000万的纳税人的信息操做进行审计

数据中心。可能存在多套数据库系统

需要高速、本身主动地採集审计数据

防止出现审计信息孤岛(漏审)

需要高速整合审计数据、生成审计报告

提供预警

保护审计数据自己的安全性、防止审计数据自己被黑客、DBA或高权限人员破坏、删除

 

 

 

8. #创建集中的数据库审计平台

9. 别的法

web的安全除了常规的sql注射,xss,CSRF避免,仍是有不少的特别的的防范 1.站点后台管理程序不要和前台程序放在同一个server上...后台管理程序最好不使用web,而是CS方式... 2.数据库跟站点webserver不要放在同一个server上,避免主机管理员接触到数据库..而且避免数据库管理员接触到站点程序.. 3.订单程序使用编译型语言java写,避免使用php等明文语言..很重要的的核心程序可以使用c++... 2.数据库server和站点server的通讯要使用ssl加密,,这个普通的数据库都可以设置的.. 3.订单数据要加密保存....这样可以避免数据库管理员看见数据.. 4.通常订单数据加密后是很是安全的...但是当前不少的定货库是非加密的,全变化为加密数据更改程序大的..可以只加密金额等字段.. 5.金额等重要字段还可以加入md5签名来保证安全,这样数据库管理员更改字段也可以发现,订单程序就会本身主动检測到非法改动并且锁定.. 6.对于能同一时候接触到程序和数据库的成员的防范,需要添加还有一个数据库作为回溯安全数据库..订单正常使用的时候儿,解密,再作签名比較,最后,和回溯安全数据库比較,来保证安全...