企业数据库合规的最佳实践
PCI DSS当前对于数据库要求有下述明确的控制措施:
• 对访问任意数据库的所有用户进行认证。
• 所有用户访问任何数据库时,用户的查询和操作(例如移动、拷贝和删除)只能通过编程性事务(例如存储过程)。
• 数据库和应用的配置设置为只限于给DBA(数据库管理员)的直接用户访问或是查询。
• 对于数据库应用和相关的应用ID,应用ID只能被应用使用,而不能被单独的用户或是其它进程使用。
就运行数据库的主机的操作系统来说,以下的最佳实践应该到位:
1. 系统管理员和其他相关的IT人员应该拥有充分的知识、技能并理解所有关键操作系统的安全要求。
2. 当部署操作系统到受管理的服务环境中时,应采用行业领先的配置标准和配套的内部文档。
3. 在操作系统上应该只启用那些必需的和安全的服务、协议、守护进程和其它必要的功能。
4. 操作系统上所有不需要的功能和不安全的服务及协议应该有效地禁用。
5. Root帐户应该选择唯一的密码进行恰当地防护并定期更换。
6. Root帐户应只限于需要的最少的人知道。
7. 应该将Syslog配置为文件发送和syslog数据复制到一台集中的syslog服务器,从而用来评审日志信息。
8. “最小权限”的准则,即声明只应赋予用户能够有效地和正常地完成他们工作所需的权限,在考虑操作系统的访问权限时应当考虑。
9. 应该保证操作系统应用了所有相关的和关键的安全补丁。
对于实际的数据库本身,推荐以下的最佳实践:
1. 应当有恰当的人员维护和更新用户名单,其中这些用户可以访问受管理的应用服务环境中数据库。
2. 系统管理员和其他相关的IT人员应该有充分的知识、技能并理解所有的关键的数据库安全要求。
3. 当部署数据库到受管服务环境中时,应该采用行业领先的配置标准和配套的内部文档。
4. 对于数据库功能不需要的默认用户帐户,应该锁定或是做过期处理。
5. 对于所有仍在使用中的默认用户帐户,应该主动地变更密码以采用强密码措施。
6. 应该给数据库内的管理员帐户分配不同的密码,这些帐户不应使用共享密码或组密码。
7. 措施要到位,用于保护数据字典以及描述数据库中所有对象的支持性元数据。
8. 对于任何访问数据库的基于主机的认证措施,应当有足够的适当的过程来确保这种访问类型的整体安全。
9. 数据库监控应到位,由能够根据需要对相关的人员进行告警的工具组成。
10. 保证数据库应用了所有相关的和关键的安全补丁。
转载于:https://blog.51cto.com/wuenlong/781572
企业数据库合规的最佳实践相关推荐
- 安全合规--40--基于欧美法律法规的企业隐私合规体系建设经验总结(四)
作者:随亦 本篇介绍:撰写数据隐私合规文件 本篇为第4篇/共5篇 上一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(三) 下一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(五) 引子 在2 ...
- 安全合规--44--基于国内法律法规的企业数据合规体系建设经验总结(二)
作者:随亦 本篇介绍:个人信息存储 本篇为第2篇/共9篇 上一篇:基于国内法律法规的企业数据合规体系建设经验总结(一) 下一篇:基于国内法律法规的企业数据合规体系建设经验总结(三) 引子 在离开前公司 ...
- 安全合规--38--基于欧美法律法规的企业隐私合规体系建设经验总结(二)
本博客地址:https://security.blog.csdn.net/article/details/104173372 本篇介绍:创建数据保护合规制度 本篇为第2篇/共5篇 上一篇:基于欧美法律 ...
- SAP GRC – 企业风险合规治理 深入浅出
SAP Governance, Risk and Compliance 解决方案使组织能够管理法规和合规性,并消除管理组织关键运营的任何风险.根据不断变化的市场情况,组织不断发展,并且迅速更改和不适当 ...
- 企业云安全的6个最佳实践
云安全最佳实践系列1:企业云安全的6个最佳实践 随着云计算在企业环境的不断发展,企业向云平台的过渡和使用也不断地变化,根据最新的调查,安全性已经成为了企业上云的首要挑战.它涉及企业云上的配置管理.数据 ...
- 2018 CTCS第五届“智能出行”中国企业差旅合规高峰论坛即将开幕
-了解千禧一代商旅出行特点 上海2018年8月21日电 /美通社/ -- 千禧一代,即目前年龄大概在二.三十岁.精通科技的数字原生代,到2020年这个群体将占全球劳动力人口近一半的份额.可以说,他们很 ...
- 安全合规--39--基于欧美法律法规的企业隐私合规体系建设经验总结(三)
作者:随亦 本篇介绍:以恰当的合规机制实现数据跨国传输 本篇为第3篇/共5篇 上一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(二) 下一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(四) ...
- 安全合规--51--基于国内法律法规的企业数据合规体系建设经验总结(九)
作者:随亦 本篇介绍:数据安全事件预案及应对 本篇为第9篇/共9篇 上一篇:基于国内法律法规的企业数据合规体系建设经验总结(八) 引子 在离开前公司之后(2020.06),我来到新的公司担任安全部负责 ...
- 安全合规--48--基于国内法律法规的企业数据合规体系建设经验总结(六)
作者:随亦 本篇介绍:儿童个人信息保护的额外要求 本篇为第6篇/共9篇 上一篇:基于国内法律法规的企业数据合规体系建设经验总结(五) 下一篇:基于国内法律法规的企业数据合规体系建设经验总结(七) 引子 ...
最新文章
- Linux--档案/目录 权限及修改
- pthread_join直接决定资源是否能够及时释放
- Maven将中央仓库修改为阿里云的仓库地址
- 曙光服务器优势,5大核心优势 探秘曙光Cloudview三大平台
- ironpython console怎么用_如何在表單中插入ironpython控制台?
- python_day12_html
- 我可以编写一个CSS选择器来选择不具有某个类或属性的元素吗?
- oracle使用cgi吗_php架构之CGI、FastCGI、php-fpm有什么关系?原来这么简单
- 计算机视觉方面的三大国际会议是ICCV, CVPR和ECCV,我统称之为ICE。
- matlab中ifelse能嵌套吗,MATLAB嵌套if-else语句
- Springboot+CAS下Session过期无效,页面请求302问题解决
- Logistics人口模型
- 自写日历(周日历,农历节日节气)
- 西门子smart200 圆弧插补 整合画图程序 2轴3轴
- jq22网站资源分享
- Unity 中的渲染优化技术
- EMC设计技巧及经验总结4:ESD防护布线指导
- proteus7.7+Keil2仿真80C51控制流水灯
- 聂易铭:3月11日数字货币插针诱惑,做多只能浅尝辄止
- section怎么制造图框_cad中如何制作带属性块的图框