数据库是存放数据、经常是那些高敏感度数据的宝库,因此它也毫无疑问的是合规检查程序的重点区域。几乎所有的企业合规都会对哪些人、能在什么时间、访问什么数据库作出规定,并且需要一个专职人员来管理这些权限。本文,我们将讨论针对数据库合规的基本数据库安全要求,如PCI DSS和HIPAA,以及为了遵守合规要求用于管理数据库权限和维护的***实践。
最常见的五大企业核心数据库环境是:1、微软的SQL Server数据库;2、IBM的DB2数据库;3、MySQL数据库;4、Oracle数据库;5、Postgres数据库。这些数据库在***实施安装时都能够恰当地配置、加固、保护及锁定。真正的挑战是理解那些实际上需要到位的重要组件。这不只是对数据库本身,还有容纳操作系统和数据库的服务器。
PCI DSS当前对于数据库要求有下述明确的控制措施:
◆对访问任意数据库的所有用户进行认证。
◆所有用户访问任何数据库时,用户的查询和操作(例如移动、拷贝和删除)只能通过编程性事务(例如存储过程)。
◆数据库和应用的配置设置为只限于给DBA(数据库管理员)的直接用户访问或是查询。
◆对于数据库应用和相关的应用ID,应用ID只能被应用使用,而不能被单独的用户或是其它进程使用。
就HIPAA法案来说,上述的措施没有作为HIPAA合规要求的内容特别写出来,但是应当看作是用于合规遵从的***安全控制组合,并且最终有助于满足HIPAA中安全条款的需要。具体来说,HIPAA的规定条款如下:
◆确保所有新建、接收、维护或是传输中的电子个人健康信息(e-PHI)的保密性、完整性和可用性。
◆辨识和防范那些对信息的安全性或完整性来说合理的、可预见的威胁。
◆防范那些合理的、可预见的、不允许的滥用或是泄漏;并且
◆确保他们所有员工的合规性。
此外,除了满足像PCI DSS这样的合规要求外,下述是应该考虑的***实践、可用来确保上面列出的所有数据库环境的安全。
就运行数据库的主机的操作系统来说,以下的***实践应该到位:
1. 系统管理员和其他相关的IT人员应该拥有充分的知识、技能并理解所有关键操作系统的安全要求。
2. 当部署操作系统到受管理的服务环境中时,应采用行业领先的配置标准和配套的内部文档。
3. 在操作系统上应该只启用那些必需的和安全的服务、协议、守护进程和其它必要的功能。
4. 操作系统上所有不需要的功能和不安全的服务及协议应该有效地禁用。
5. Root帐户应该选择唯一的密码进行恰当地防护并定期更换。
6. Root帐户应只限于需要的最少的人知道。
7. 应该将Syslog配置为文件发送和syslog数据复制到一台集中的syslog服务器,从而用来评审日志信息。
8. “最小权限”的准则,即声明只应赋予用户能够有效地和正常地完成他们工作所需的权限,在考虑操作系统的访问权限时应当考虑。
9. 应该保证操作系统应用了所有相关的和关键的安全补丁。
对于实际的数据库本身,推荐以下的***实践:
1. 应当有恰当的人员维护和更新用户名单,其中这些用户可以访问受管理的应用服务环境中数据库。
2. 系统管理员和其他相关的IT人员应该有充分的知识、技能并理解所有的关键的数据库安全要求。
3. 当部署数据库到受管服务环境中时,应该采用行业领先的配置标准和配套的内部文档。
4. 对于数据库功能不需要的默认用户帐户,应该锁定或是做过期处理。
5. 对于所有仍在使用中的默认用户帐户,应该主动地变更密码以采用强密码措施。
6. 应该给数据库内的管理员帐户分配不同的密码,这些帐户不应使用共享密码或组密码。
7. 措施要到位,用于保护数据字典以及描述数据库中所有对象的支持性元数据。
8. 对于任何访问数据库的基于主机的认证措施,应当有足够的适当的过程来确保这种访问类型的整体安全。
9. 数据库监控应到位,由能够根据需要对相关的人员进行告警的工具组成。
10. 保证数据库应用了所有相关的和关键的安全补丁。
因此,公司应该首先具有得到良好培训、在数据库安全方面具有丰富知识的IT职员,并且拥有用来实施有效的数据库安全必需的配置指导方针和加固文件。对于所有现有的数据库平台和未来要安装的数据库而言,要有高度结构化和标准化的方法,从而有效地对数据库环境进行配置、加固、保护和锁定。遵循这些***实践,不出意外的话,你企业在数据库合规方面的任何努力会在下次评估收尾时得到可观的回报。