在能夠真正影響每個行業的所有的政府和行業規則中,總有一天會出現這麼一條,要你真正地應用一些信息安全政策。你也許已經對密碼和數據備份有了一些基本政策。但是還有更多內容。所以,如果你的企業現在才剛剛把它的安全政策放在一起,或者你已經意識到了是時候需要更新一些東西了,那麼這裡有幾個你需要了解的數據庫安全相關的問題。
從技術上來說,為了准確判斷需要哪個安全政策,你需要執行信息風險評估。然而,我理解,現實情況經常會導致其它內容。就是說,我可以考慮得很少,如果有的話,但是幾乎很少有不再要求我思考如下數據庫相關安全政策的環境出現:
·可接受的利用率——什麼可以/不可以在數據庫服務器上完成,例如網絡浏覽和安裝/卸載中間件,以及個人防火牆保護,還有MSDE, SQL Server Express 2005,以及其它非服務器系統上的數據庫軟件的安裝。
·認證控制——對於數據庫,以及有關應用程序和操作系統來說,包括密碼的要求,多種成分的使用等。
·業務合作——應對外部承包人、審計人員、寄存提供者商等,包括合同規定和應用的服務級別的協商。
·業務連續性——災難恢復和/或業務連續性計劃要求可以幫助你的數據庫保持運轉狀態,可以訪問。
·變更管理——記錄誰、為什麼、在什麼時候,如何,以及所有相關的拆除過程。
·數據備份——什麼,什麼時候,以及使用的方法。
·數據保持和破壞——什麼,為什麼,使用的方法和時間線。
·加密——不僅覆蓋了靜止的數據,例如加密特定的行,還覆蓋了傳輸的數據,例如數據庫服務器和網絡應用程序之間的TLS。數據備份也是覆蓋的一部分。
·信息分類——為信息貼上公共、內部、機密等標簽。
·物理安全——構建,數據中心和服務器的安全。
·財產的刪除——服務器,驅動,磁帶,和其它財產。
·安全測試和審計——什麼,如何,什麼時候,以及誰執行的測試,用的什麼工具。
·職責的分隔——用戶,數據庫管理員,安全審計員,以及其它與數據庫管理有關的人的角色/職責。
·系統維護——打補丁,系統清理/清楚和中間件的更新。
·系統監控和意外事件的響應——誰,為什麼,什麼時候,以及如何進行實時監控和記錄審計日志,還有為了維護正式的意外響應計劃所需要的特殊需求。
·用戶授權——添加/刪除用戶,授予誰,為什麼,什麼時候,多長時間的管理權限。
我認為這裡有幾個關鍵點需要與數據庫中心的安全政策相關。首先,如果管理層沒有明確表示他們的支持(例如,他們將會接受並強制政策的執行),你興許也只能一起放棄這個計劃。所以首先要把他們也拉上船。其次,盡可能地把你的政策提到最高級別上,這樣你就可以最大化覆蓋的部門和系統。最大化規則的數量,你可以真正地實施它。換句話說,如果你可以幫助它,不在你的數據庫中發生以上所有的政策,並且在無線網絡、存儲系統等等中擁有另一套規則。同樣,至少也要理解你的企業對解決PCI, GLBA, HIPAA, SOX等問題上的規則上的調整需求。這一點在你有一個依從性或者IT管理委員會來審視和現實安全政策的時候,可以帶來最好的幫助。如果你能幫助它的話,你不會想要你自己管理一套政策。
最後,確保你盡可能地以一種可以直接帶來最大理解和管理的方式記錄你的政策。以下政策中的組成部分對於保證政策的簡單性和長期的可管理性是至關重要的。
·簡介——對題目的簡單概括,例如加密
·目的——簡單列出最高的目標和方針的策略。
·范圍——說明覆蓋了哪些雇員、部門和數據庫系統。
·角色和職責——列出與誰有關,以及要他們支持政策的話,需要他們做什麼。
·政策的陳述——你的真正的政策的陳述。你應該對每個主題有一篇陳述。換句話說,為前面列出的你選擇使用的每個政策創建一個單獨的模版。
·例外情況——強調沒有包括在政策裡面的人,部門,數據庫等。
·過程——政策如何實現和在你的環境內強制執行的詳細步驟。你可能會想要參考這個信息,並且把它放在不同的文件中。
·遵循——列出如何衡量是否遵循了這個政策的過程,包括所有涉及的衡量標准。
·制裁——列出當違反了政策時候會發生的事情。這可能包括了第一次違反的時候發生什麼事情,第二次違反的時候發生什麼事情,以及第三次違反的時候發生什麼事情。
·回顧和評估——說明什麼時候政策必須檢查其准確性、實用性,以及遵循的目的(例如,. SOX, HIPAA, GLBA, PCI等)。
·參考——指出調整代碼部分河信息安全標准(ISO/IEC 17799, ITIL, COBIT等)
·相關文檔——指出其它政修訂——記錄針對這個政策文檔進行的修改。
·修訂——記錄針對這個政策文檔進行的修改。
·注意事項——最重要的注意事項,貼士等。它可以幫助以後的政策管理和加強。
如果你以正確的方式做完了以上所有內容來構建你的政策,它會在很長一段時間內節省你大量的時間和煩惱,讓你的審計員很高興。良好的回報值得你的努力。