ITPub博客

首页 > 数据库 > Oracle > 数据库的信息安全管理

数据库的信息安全管理

原创 Oracle 作者:wzq609 时间:2018-04-28 17:35:01 0 删除 编辑
【前言】这两天一个朋友咨询关于数据库信息的管理办法。他们早期系统的管理是属于粗放型的方式。为了管理上的方便和系统更新的速度,开发人员是可以直接连接数据库,并进行增删改操作的。但是随着整体业务的规范化,公司也逐步走入正轨,系统里面存放着太多的核心数据,开发人员只要进入了数据库,就可以查看公司的一切经营信息(销售额、回款情况、供应商和客户信息)和管理信息(人员信息、薪资、绩效)。
所以他们IT负责人咨询从数据库角度有没有办法,让开发人员连接数据库的时候不能看到里面的信息,看来是太高估了数据库的能力。

本文结合现有公司管理的办法整理了以下文档跟大家一起交流。
数据库的信息是企业的核心机密,数据库信息的保密都是每个企业很重要的一项任务,而最坚固的堡垒往往是由内部被突破的。以下是个人总结的信息加密的方法。

一、操作系统账号的安全
风险如下:
1、数据库是安装在操作系统上面的,具有操作系统的管理员权限,就相当于拥有的数据库的一切权限。可以实现不需要密码就直接登陆到数据库中,所以任何数据库的数据也都是可以直接查看的。
2、具有操作系统的权限,可以把整个数据库拷贝到其他地方,不仅仅是数据被查看的问题,更严重的情况是整个数据库的信息都被窃取。企业将没有任何的机密;

规避方法:
1、操作系统的密码只能由操作系统管理员管理;
2、操作系统需要有足够的密码复杂度,避免被暴力破解;
3、进行每年的密码变更;
4、搭建堡垒机,操作系统的管理都通过堡垒机登陆,实现审计;

二、数据库账号的安全
风险如下:
1、数据库保管企业的核心数据,数据被查看、删除、修改都可能导致企业的核心数据泄露和删除的风险;

规避方法:
1、数据库管理员的密码只能由数据库管理员密码;
2、应用层的连接密码必须要加密,避免其他人员通过应用层查看到数据库账号的密码(应用服务器由系统管理员管理,开发人员没有权限登陆和查看)
3、搭建堡垒机,操作系统的管理都通过堡垒机登陆,实现审计;

三、应用层的信息泄密
风险如下:
1、通过登陆应用可以很直观的查看到企业的核心数据和报表。

规避方法
1、系统的用户账号需要设置定期变更和密码复杂度策略;
2、数据库里面的用户信息表的密码字段需要进行加密,避免泄露;

四、其他
为了避免系统被黑客入侵,建议定期进行系统安全漏洞的扫描和防火墙的部署;

【总结】
1、服务器信息的管理不仅仅是技术上的问题,更多的是管理上的问题。为了保障系统的安全性,肯定会增加管理的开销。
2、信息安全无小事

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/12679300/viewspace-2153517/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2013-06-16

  • 博文量
    173
  • 访问量
    2889288