atitit.信息安全的控制总结o7

1. 信息安全覆盖很多的内容： 1

2. #内部人员导致的安全风险 1

3. #对敏感的数据进行透明的加密 2

4. #安全防护 2

5. #通过数据安全域保护关键业务数据 2

6. #实施安全规则与多元素授权 3

7. #数据库安全审计的考虑 3

8. #建立集中的数据库审计平台 3

9. 别的法 3

1. 信息安全覆盖很多的内容：

身份认证及单点登录

网络传输加密

防病毒

数据的加密/解密存储

数据记录级的访问控制

内部控制

命令的安全规则引擎

集中安全审计

安全规范与自动安全评估(ftp、密码、端口、补丁…)

……

已经实施了安全防护工程，建立了完整的CA体系，配置了屏蔽机房、防火墙、入侵检测、防病毒、网闸等安全防护机制

制定了一套安全管理规范，如操作系统、数据库的用户名密码管理，以及对ftp、telnet、特定操作的IP地址等进行了限制

提供网络传输加密、安全审计等的功能，在操作系统和网络层面进行严格的安全审计

某些应用系统的维护，通过开发商共同运维，而仅靠管理制度无法完全杜绝安全隐患

作者:: 老哇的爪子 Attilax 艾龙， EMAIL:1466519819@qq.com

转载请注明来源： http://blog.csdn.net/attilax

2. #内部人员导致的安全风险

内部的维护人员把整个数据库中的数据备份带走

高权限用户（如root、DBA）的错误操作，删除或损坏了关键的业务数据

系统维护人员或高权限的超级用户，私自在后台查看、窃取、甚至恶意破坏业务数据

内部人员违规修改业务数据、或业务人员越权访问数据及应用

饶过应用程序去直接访问数据库中的数据

高权限用户（如root、DBA）删除、修改审计数据

…

3. #对敏感的数据进行透明的加密

对敏感数据列、文件、图形图象等实现加密存储

帮助符合私密性及法规控制

SB 1386, CISP/PCI, SOX

防止数据文件被非法拷贝和备份而导致泄密

数据写到磁盘时自动加密存储，从磁盘读取时自动解密，对应用完全透明，降低应用开发、维护成本

4. #安全防护

网络安全防护，主要对外部的入侵进行防护，审计主要是安全事故的事后管理而无法积极地防控

前面提到，80%的数据丢失是内部造成的

需要限制DBA查看、修改、窃取应用数据的权利，例如，业务维护人员只能维护自己相关的后台数据，而无法备份、清空、导出数据等

内部控制、安全域，实现职责分离和防止越权访问数据

多因素授权、基于安全规则的授权，定制和强制实施个性化的安全规则

提供详细的安全违规报告，用于法规审计

对应用透明、无需更改现有的应用程序

5. #通过数据安全域保护关键业务数据

数据库的安全领域可以把应用或一组数据库对象封闭到保护区内

数据库DBA查看申报数据

加强内部控制，尤其是超级管理员用户，例如：为生产数据建立安全域后，DBA将无法查看、篡改和破坏登记、申报征收数据

生产管理超级用户查看财务业务数据

岗责分离，实施数据安全域后，业务人员将无法跨业务越权访问数据

6. #实施安全规则与多元素授权

安全规则的作用是根据特定的环境或决策要素（如：机器的IP地址、操作时间和验证模式等）进一步对数据库操作加以限制

基于IP地址的规则将阻止未经授权的远程操作

操作员不在正常上班时间执行未经授权的操作

基于日期和时间的规则将阻止未经授权的操作

7. #数据库安全审计的考虑

数据库的审计和安全管控同样重要

针对重点数据进行审计，从而减少对性能的影响，例如，只针对营业额超过1000万的纳税人的信息操作进行审计

数据中心，可能存在多套数据库系统

需要快速、自动地采集审计数据

防止出现审计信息孤岛(漏审)

需要快速整合审计数据、生成审计报告

提供预警

保护审计数据本身的安全性、防止审计数据本身被黑客、DBA或高权限人员破坏、删除

8. #建立集中的数据库审计平台

9. 别的法

web的安全除了常规的sql注射,xss,CSRF避免,还是有许多的特别的的防范

1.网站后台管理程序不要和前台程序放在同一个服务器上...后台管理程序最好不使用web,而是CS方式...
2.数据库跟网站web服务器不要放在同一个服务器上,避免主机管理员接触到数据库..而且避免数据库管理员接触到网站程序..
3.订单程序使用编译型语言java写,避免使用php等明文语言..非常重要的的核心程序可以使用c++...
2.数据库服务器和网站服务器的通信要使用ssl加密,,这个普通的数据库都可以设置的..
3.订单数据要加密保存....这样可以避免数据库管理员看见数据..
4.一般订单数据加密后是很安全的...但是当前许多的订货库是非加密的,全变化为加密数据更改程序大的..可以仅仅加密金额等字段..
5.金额等重要字段还可以添加md5签名来保证安全,这样数据库管理员更改字段也可以发现,订单程序就会自动检测到非法修改并且锁定..
6.对于能同时接触到程序和数据库的成员的防范,需要增加另一个数据库做为回溯安全数据库..订单正常使用的时候儿,解密,再做签名比较,最后,和回溯安全数据库比较,来保证安全...

atitit.信息安全的控制总结o7相关推荐

bcd转十进制java_BCD码转十进制C语言实现
#include #include #define uchar unsigned char uchar BCD_Decimal(uchar bcd) ; int main(void) { uchar ...
Atitit q2016 qb doc list on home ntpc.docx
Atitit q2016 qb doc list on home ntpc.docx 驱动器 D 中的卷是 p2soft 卷的序列号是 9AD0-D3C8 D:\ati ext notbek\q201 ...
计算机信息安全培训计划,年度信息安全培训计划.doc
年度信息安全培训计划年度信息安全培训计划篇一: 员工信息安全培训管理规范[模板] ⅹⅹⅹⅹ信息中心员工信息安全培训管理规范目的通过对信息中心全体人员进行培训,使其具备相应的信息安全的意识和能 ...
三万字-计算机三级-信息安全技术-信息安全保障概述
今年五月份报的信息安全技术,考试时间为2022.9.26,因为封校和疫情原因,没有参加上:在这些期间准备时间只能说是10天,10天好像就有点多,大概一周吧,能考个及格,所以当大家备考时一定要老早准备, ...
谷安天下“信息安全中国行”济南站——安全集中赢
谷安天下"信息安全中国行"大型系列活动 --安全集中赢济南站 2011 "信息安全中国行"大型系列活动是谷安天下针对中国企业与个人需求所打造的信息安全活动品 ...
2022第三届全国大学生网络安全精英赛练习题（全部试题）
全国大学生网络安全精英赛文章目录全国大学生网络安全精英赛 200 400 500 600 700 800 1.某公司技术人员利于自己的技术入侵了某电商数据库,将其中的用户数据下载后在暗网中进行售 ...
全国大学生网络安全精英赛练习题
1.某公司技术人员利于自己的技术入侵了某电商数据库,将其中的用户数据下载后在暗网中进行售卖,该行为的处置最适用的是以下那部法律?() A.刑法 B.网络安全法 C.电子签名法 D.劳动法正确答案:A ...
桌面虚拟化“寻人行动”-转裁
在服务器虚拟化技术发展得如火如荼之际,桌面虚拟化也开始呈现呼应之势.业界的共识是,桌面是需要接受虚拟化治疗的下一个IT问题领域.主流厂商为此动作频频,思杰于5月底正式发布桌面虚拟化产品XenDeskt ...
IDC：聚焦6+6，抓住数字化转型商机
今天,IDC中国2015年中国ICT市场趋势论坛巡回系列的第二站在北京举行.论坛的主题为"加速创新实现数字化转型". 这是最坏的时代:经济增长乏力.实体经济不振.传统行业在被颠覆与 ...
与中石油分享SOA成功实践
中国石油天然气集团公司的"生产运行管理系统"系统是一个地域上覆盖了中国石油十大油田,业务领域涵盖了物理勘探.钻井工程.测井.录井.试油和井下作业等专业应用的信息管理系统.在这个项目 ...