企业数据库合规的最佳实践

PCI DSS当前对于数据库要求有下述明确的控制措施：

 

　　• 对访问任意数据库的全部用户进行认证。
• 全部用户访问任何数据库时，用户的查询和操做（例如移动、拷贝和删除）只能经过编程性事务（例如存储过程）。
• 数据库和应用的配置设置为只限于给DBA（数据库管理员）的直接用户访问或是查询。
• 对于数据库应用和相关的应用ID，应用ID只能被应用使用，而不能被单独的用户或是其它进程使用。

就运行数据库的主机的操做系统来讲，如下的最佳实践应该到位：

 

　　1. 系统管理员和其余相关的IT人员应该拥有充分的知识、技能并理解全部关键操做系统的安全要求。

 

　　2. 当部署操做系统到受管理的服务环境中时，应采用行业领先的配置标准和配套的内部文档。

 

　　3. 在操做系统上应该只启用那些必需的和安全的服务、协议、守护进程和其它必要的功能。

 

　　4. 操做系统上全部不须要的功能和不安全的服务及协议应该有效地禁用。

 

　　5. Root账户应该选择惟一的密码进行恰当地防御并按期更换。

 

　　6. Root账户应只限于须要的最少的人知道。

 

　　7. 应该将Syslog配置为文件发送和syslog数据复制到一台集中的syslog服务器，从而用来评审日志信息。

 

　　8. “最小权限”的准则，即声明只应赋予用户可以有效地和正常地完成他们工做所需的权限，在考虑操做系统的访问权限时应当考虑。

 

　　9. 应该保证操做系统应用了全部相关的和关键的安全补丁。

 

　　对于实际的数据库自己，推荐如下的最佳实践：

 

　　1. 应当有恰当的人员维护和更新用户名单，其中这些用户能够访问受管理的应用服务环境中数据库。

 

　　2. 系统管理员和其余相关的IT人员应该有充分的知识、技能并理解全部的关键的数据库安全要求。

 

　　3. 当部署数据库到受管服务环境中时，应该采用行业领先的配置标准和配套的内部文档。

 

　　4. 对于数据库功能不须要的默认用户账户，应该锁定或是作过时处理。

 

　　5. 对于全部仍在使用中的默认用户账户，应该主动地变动密码以采用强密码措施。

 

　　6. 应该给数据库内的管理员账户分配不一样的密码，这些账户不该使用共享密码或组密码。

 

　　7. 措施要到位，用于保护数据字典以及描述数据库中全部对象的支持性元数据。

 

　　8. 对于任何访问数据库的基于主机的认证措施，应当有足够的适当的过程来确保这种访问类型的总体安全。

 

　　9. 数据库监控应到位，由可以根据须要对相关的人员进行告警的工具组成。

 

　　10. 保证数据库应用了全部相关的和关键的安全补丁。