华安信达(CISPS.org)信息安全论坛
http://cisps.org/

数据库安全项目求指点!
http://cisps.org/viewtopic.php?f=113&t=28627
分页: 1 / 1

作者:  527518 [ 2011-09-26 16:57 ]
文章标题 :  数据库安全项目求指点!

小弟最近做一数据库安全项目,对于对其他部门的要求,打算从技术和管理两个角度去说。

技术的话,打算搞个数据库安全的checklist,再搞个脆弱性评估工具检查

管理的话,目前思路还不清晰,比较乱,零零散散的有一些想法:

1、要求各部门列出本部门的敏感数据库、核心数据库
2、要求各部门列出本部门人员都需要访问哪些数据库(who what how when why where)(谁要访问账号多少、访问哪个数据库、如何访问、何时访问、为什么要访问、从哪个IP访问) 此条的目地是,打算把他们列出来的搞成白名单,其它的统统阻止 当然他们列出来了,我就告诉他们,以后只能这么搞,不这么搞是违法的。。。
3、ssh直连数据库宿主机必须通过双因素认证(这个是不是放到技术里好)
4、数据要进行加密(这个是不是放到技术里好)
5、列出所有数据库的访问特性、操作特性(人或者一个自动运行的脚本需要什么时间访问、需要做什么操作) 此类也是白名单,违背的统统干掉
6、另外牵涉到业务特性的,比如对于某个数据库理论上来说,在某个时间点的不应该有人访问的,我打算此类搞个黑名单,在此时间点访问就告警,诸如这样跟业务特性相关的,我该如何让其它部门给出哪些时间点 这个是关别人权限的,估计都不愿意给答案啊 还有这条感觉跟白名单达到的效果有重复啊,个人感觉如果白名单搞的很NB了,这个就不需要了,实施起来,白名单跟黑名单的获取,白名单也要容易些啊
7、外包项目的管理,这个要如何确保外包人员的权限、帐号都是合规的,项目结束后,如何及时收回权限 这个要怎么具体化对外包人员访问数据库 以及帐号权限的要求?
8、职责分离


暂时只想到这么多,请各位大牛指点下,手中数据库安全 管理方面的要求暂无资料,哪位有的话,请提供下,谢谢!

作者:  527518 [ 2011-09-26 19:06 ]
文章标题 :  Re: 数据库安全项目求指点

小弟需要数据库安全 管理层面的资料,哪位大牛有,请发我邮箱下吧 527518@qq.com

谢谢!

作者:  5023749 [ 2011-09-27 09:38 ]
文章标题 :  Re: 数据库安全项目求指点!

管理风险建议事前预防的角度,审计产品是事后审计取证,但损失已经发生,买审计产品本身不能减低安全风险,关键还是在处理和数据库有关的安全风险评估和处理上,否则没具体的回报。还有就是审计策略的合理性,应考虑从数据库的重要程度和告警及策略的业务需求转化而来。

你的思路是对的,处理外围风险是关键,没有减低数据库本身的风险的审计产品都是事后炮~ 不用找什么资料了,关键不在产品,在于怎么处理和业务相关的风险,产品没告诉你怎么处理,这基本是你自己的事儿

作者:  527518 [ 2011-09-27 10:05 ]
文章标题 :  Re: 数据库安全项目求指点!

5023749 写道:
管理风险建议事前预防的角度,审计产品是事后审计取证,但损失已经发生,买审计产品本身不能减低安全风险,关键还是在处理和数据库有关的安全风险评估和处理上,否则没具体的回报。还有就是审计策略的合理性,应考虑从数据库的重要程度和告警及策略的业务需求转化而来。

你的思路是对的,处理外围风险是关键,没有减低数据库本身的风险的审计产品都是事后炮~ 不用找什么资料了,关键不在产品,在于怎么处理和业务相关的风险,产品没告诉你怎么处理,这基本是你自己的事儿


嗯 数据库审计项目不单单是审计,这里面是需要很多管理和技术手段来支撑的,只有把数据库情况都摸清楚了,审计产品才能有针对的下药,至于降低安全风险,小弟认为,搞个具备阻断功能的审计产品,丢上去跑一段只开检测,策略优化的很好没误报了,把结果丢给boss看,boss说开阻断,那就开

现在比较迷茫的是我具体需要哪些管理手段?

作者:  5023749 [ 2011-09-27 10:31 ]
文章标题 :  Re: 数据库安全项目求指点!

阻断估计会有误杀行为,如果能为这个业务行为负责就可以开,呵呵。
你说的管理手段,应该是从技术(数据库、主机、维护工具)还有运维安全管理、法规方面找到风险,考虑转换成管理要求,通过技术和管理措施来落实执行吧

作者:  527518 [ 2011-09-27 10:45 ]
文章标题 :  Re: 数据库安全项目求指点!

5023749 写道:
阻断估计会有误杀行为,如果能为这个业务行为负责就可以开,呵呵。
你说的管理手段,应该是从技术(数据库、主机、维护工具)还有运维安全管理、法规方面找到风险,考虑转换成管理要求,通过技术和管理措施来落实执行吧


嗯。阻断这个事情等到时上了看看情况再说

管理手段我感觉就是从你说的那几个方面找到风险,转换为管理要求来规避这些风险,不知哥们有无此类管理要求资料啊?自己想的感觉不全
另外我感觉还需要从配合审计的角度要求其他部门提供一些信息,比如 XXX需要在什么时间段访问XX数据库之类的,这样方便我制定策略

作者:  terry_yu [ 2011-09-27 11:31 ]
文章标题 :  Re: 数据库安全项目求指点!

关于这个话题,有两点要提醒重视:
1.数据库安全一定不要忘记优先考虑数据备份和恢复
只见毫毛而不见睫毛,常见的措施也是容易被忽视的,无数惨痛经验提醒我们:忽视备份的代价也许是你不能承受之痛。

2.进行访问控制和监控是必要的,但基于业务活动的访问控制很难落实。
梳理各数据库的业务活动就很难操作,一方面,业务活动本身是敏感信息,由此是否会引入新的风险还很难说。另一方面,实际调研的阻碍和难度太,而且业务活动因频繁变动和各种特殊例外情况而难以掌握。

作者:  jywah [ 2011-09-30 11:39 ]
文章标题 :  Re: 数据库安全项目求指点!

1、调研,很重要
包括数据库网络环境、架构、前端应用、运维方式和工具、数据类型和机密性等级、数据库用户和权限、流程、日志、备份等,输出风险现状矩阵,和业务方确认。
下一步基本上从两方面入手,数据库架构,数据库运维。
2、架构
业务访问的网络环境,安全边界隔离
是否需要分等级、分区域保护?
机密类数据统一加密方案
3、运维
运维访问的网络环境,如部署跳板机统一审计登录和操作日志
运维访问授权流程、人员名单和权限梳理
数据流量监控
4、以上控制措施的checklist,定期检查
5、完善一个数据库安全规范进行指导和遵循

分页: 1 / 1 当前时区为 UTC + 8 小时
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/