数据库是数据的宝库,往往是高度敏感的数据,因此毫无疑问是合规检查计划的重点领域。几乎所有的公司合规性都会规定谁可以访问什么数据库,何时访问,并且需要专人来管理这些权限。在本文中,我们将讨论数据库合规性的基本数据库安全要求,例如PCIDSS和HIPAA,以及管理数据库权限和维护以符合合规性要求的最佳实践。五种最常见的企业核心数据库环境是:1.微软的SQLServer数据库;2、IBM的DB2数据库;3、MySQL数据库;4、甲骨文数据库;5.Postgres数据库。这些数据库在安装时已正确配置、加固、保护和锁定。真正的挑战是了解那些实际需要到位的重要组件。这不仅与数据库本身有关,还与容纳操作系统和数据库的服务器有关。PCIDSS目前要求对数据库采取以下具体控制措施:◆对访问任何数据库的所有用户进行身份验证。◆当所有用户访问任何一个数据库时,用户的查询和操作(如移动、复制、删除)只能通过编程事务(如存储过程)来完成。◆数据库和应用程序配置设置仅限于直接用户访问或查询DBA(数据库管理员)。◆对于数据库应用和相关的应用ID,应用ID只能被应用使用,不能被个人用户或其他进程使用。就HIPAA法案而言,上述措施并未具体写为HIPAA合规要求的内容,但应视为合规安全控制的最佳组合,最终有助于满足HIPAA中安全条款的要求。HIPAA需要。具体而言,HIPAA的规定如下:◆确保所有新创建、接收、维护或传输的电子个人健康信息(e-PHI)的机密性、完整性和可用性。◆识别并防止那些对信息安全或完整性的合理和可预见的威胁。◆防止合理可预见的、不允许的误用或泄漏;◆确保所有员工遵守规定。此外,除了满足PCIDSS等合规性要求外,还应考虑以下最佳实践以确保上述所有数据库环境的安全性。就运行数据库的主机的操作系统而言,应采用以下最佳实践:1.系统管理员和其他相关IT人员应具备足够的知识、技能,并了解所有关键数据库的安全要求操作系统。2.将操作系统部署到托管服务环境时,应使用行业领先的配置标准和随附的内部文档。3.操作系统只应启用那些必要且安全的服务、协议、守护进程和其他必要的功能。4、有效禁用操作系统上所有不必要的功能和不安全的服务和协议。5.Root帐户应选择一个唯一的密码以进行适当的保护并定期更改。6.根账户应该限制在最少需要知道的人。7.系统日志应配置为文件发送和系统日志数据复制到一个集中的系统日志服务器,以查看日志信息。8.“最小权限”原则指出,用户应该只被授予他们有效和正确地完成工作所需的权限,在考虑对操作系统的访问权限时,应该考虑这一原则。9.应确保将所有相关和关键的安全补丁应用于操作系统。对于实际的数据库本身,推荐以下最佳实践:1.应该有适当的人员维护和更新在托管应用程序服务环境中可以访问数据库的用户列表。2.系统管理员和其他相关IT人员应具备足够的知识、技能和对所有关键数据库安全要求的理解。3.将数据库部署到托管服务环境时,应使用行业领先的配置标准和随附的内部文档。4.数据库功能不需要的默认用户帐户应该被锁定或过期。5.对于所有仍在使用的默认用户帐户,应主动更改密码以采用强密码做法。6.数据库内的管理员帐户应分配不同的密码,这些帐户不应使用共享或组密码。7.采取措施保护数据字典和描述数据库中所有对象的支持元数据。8.对于访问数据库的任何基于主机的身份验证措施,应该有适当的程序来确保此类访问的整体安全性。9.数据库监控应到位,包括能够根据需要向相关人员发出警报的工具。10.确保所有相关和关键的安全补丁都应用到数据库。因此,公司应该首先拥有在数据库安全方面训练有素且知识渊博的IT员工,以及实施有效数据库安全所必需的配置指南和强化文档。对于所有现有的数据库平台和未来的数据库安装,需要一种高度结构化和标准化的方法来有效地配置、强化、保护和锁定数据库环境。遵循这些最佳实践,如果不出意外,您的组织在数据库合规性方面所做的任何努力都将在您的下一次评估结束时获得丰厚的回报。
