不論是在政府機(jī)關(guān),還是在各大企業(yè)中,數(shù)據(jù)庫的安全問題都是至關(guān)重要的,為此唯學(xué)小編特整理了以下內(nèi)容,為您詳細(xì)的介紹一下有關(guān)數(shù)據(jù)庫的安全政策問題,望準(zhǔn)備參加數(shù)據(jù)庫工程師考試的考生能夠認(rèn)真查看,詳細(xì)了解,具體內(nèi)容如下:
從技術(shù)上來說,為了準(zhǔn)確判斷需要哪個(gè)安全政策,你需要執(zhí)行信息風(fēng)險(xiǎn)評(píng)估。然而,我理解,現(xiàn)實(shí)情況經(jīng)常會(huì)導(dǎo)致其它內(nèi)容。就是說,我可以考慮得很少,如果有的話,但是幾乎很少有不再要求我思考如下數(shù)據(jù)庫相關(guān)安全政策的環(huán)境出現(xiàn):
·可接受的利用率——什么可以/不可以在數(shù)據(jù)庫服務(wù)器上完成,例如網(wǎng)絡(luò)瀏覽和安裝/卸載中間件,以及個(gè)人防火墻保護(hù),還有MSDE, SQL Server Express 2005,以及其它非服務(wù)器系統(tǒng)上的數(shù)據(jù)庫軟件的安裝。
·認(rèn)證控制——對(duì)于數(shù)據(jù)庫,以及有關(guān)應(yīng)用程序和操作系統(tǒng)來說,包括密碼的要求,多種成分的使用等。
·業(yè)務(wù)合作——應(yīng)對(duì)外部承包人、審計(jì)人員、寄存提供者商等,包括合同規(guī)定和應(yīng)用的服務(wù)級(jí)別的協(xié)商。
·業(yè)務(wù)連續(xù)性——災(zāi)難恢復(fù)和/或業(yè)務(wù)連續(xù)性計(jì)劃要求可以幫助你的數(shù)據(jù)庫保持運(yùn)轉(zhuǎn)狀態(tài),可以訪問。
·變更管理——記錄誰、為什么、在什么時(shí)候,如何,以及所有相關(guān)的拆除過程。
·數(shù)據(jù)備份——什么,什么時(shí)候,以及使用的方法。
·數(shù)據(jù)保持和破壞——什么,為什么,使用的方法和時(shí)間線。
·加密——不僅覆蓋了靜止的數(shù)據(jù),例如加密特定的行,還覆蓋了傳輸?shù)臄?shù)據(jù),例如數(shù)據(jù)庫服務(wù)器和網(wǎng)絡(luò)應(yīng)用程序之間的TLS。數(shù)據(jù)備份也是覆蓋的一部分。
·信息分類——為信息貼上公共、內(nèi)部、機(jī)密等標(biāo)簽。
·物理安全——構(gòu)建,數(shù)據(jù)中心和服務(wù)器的安全。
·財(cái)產(chǎn)的刪除——服務(wù)器,驅(qū)動(dòng),磁帶,和其它財(cái)產(chǎn)。
·安全測(cè)試和審計(jì)——什么,如何,什么時(shí)候,以及誰執(zhí)行的測(cè)試,用的什么工具。
·職責(zé)的分隔——用戶,數(shù)據(jù)庫管理員,安全審計(jì)員,以及其它與數(shù)據(jù)庫管理有關(guān)的人的角色/職責(zé)。
·系統(tǒng)維護(hù)——打補(bǔ)丁,系統(tǒng)清理/清楚和中間件的更新。
·系統(tǒng)監(jiān)控和意外事件的響應(yīng)——誰,為什么,什么時(shí)候,以及如何進(jìn)行實(shí)時(shí)監(jiān)控和記錄審計(jì)日志,還有為了維護(hù)正式的意外響應(yīng)計(jì)劃所需要的特殊需求。
·用戶授權(quán)——添加/刪除用戶,授予誰,為什么,什么時(shí)候,多長時(shí)間的管理權(quán)限。
|
|
||
|
|
||
|
|