数据库是存放数据、经常是那些高敏感度数据的宝库,因此它也毫无疑问的是合规检查程序的重点区域。几乎所有的企业合规都会对哪些人、能在什么时间、访问什么数据库作出规定,并且需要一个专职人员来管理这些权限。本文,我们将讨论针对数据库合规的基本数据库安全要求,如PCI DSS和HIPAA,以及为了遵守合规要求用于管理数据库权限和维护的最佳实践。
最常见的五大企业核心数据库环境是:1、微软的SQL Server数据库;2、IBM的DB2数据库;3、MySQL数据库;4、Oracle数据库;5、Postgres数据库。这些数据库在首次实施安装时都能够恰当地配置、加固、保护及锁定。真正的挑战是理解那些实际上需要到位的重要组件。这不只是对数据库本身,还有容纳操作系统和数据库的服务器。
PCI DSS当前对于数据库要求有下述明确的控制措施:
◆ 对访问任意数据库的所有用户进行认证。
◆ 所有用户访问任何数据库时,用户的查询和操作(例如移动、拷贝和删除)只能通过编程性事务(例如存储过程)。
◆ 数据库和应用的配置设置为只限于给DBA(数据库管理员)的直接用户访问或是查询。
◆ 对于数据库应用和相关的应用ID,应用ID只能被应用使用,而不能被单独的用户或是其它进程使用。
就HIPAA法案来说,上述的措施没有作为HIPAA合规要求的内容特别写出来,但是应当看作是用于合规遵从的最佳安全控制组合,并且最终有助于满足HIPAA中安全条款的需要。具体来说,HIPAA的规定条款如下:
◆ 确保所有新建、接收、维护或是传输中的电子个人健康信息(e-PHI)的保密性、完整性和可用性。
◆ 辨识和防范那些对信息的安全性或完整性来说合理的、可预见的威胁。
◆ 防范那些合理的、可预见的、不允许的滥用或是泄漏;并且
◆ 确保他们所有员工的合规性。
此外,除了满足像PCI DSS这样的合规要求外,下述是应该考虑的最佳实践、可用来确保上面列出的所有数据库环境的安全。
就运行数据库的主机的操作系统来说,以下的最佳实践应该到位:
1、系统管理员和其他相关的IT人员应该拥有充分的知识、技能并理解所有关键操作系统的安全要求。
2、当部署操作系统到受管理的服务环境中时,应采用行业领先的配置标准和配套的内部文档。
3、在操作系统上应该只启用那些必需的和安全的服务、协议、守护进程和其它必要的功能。
4、操作系统上所有不需要的功能和不安全的服务及协议应该有效地禁用。