论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 8 篇帖子 ] 
作者 内容
 文章标题 : 数据库安全项目求指点!
帖子发表于 : 2011-09-26 16:57 
离线
初级用户

注册: 2011-03-28 12:16
最近: 2015-12-17 11:45
拥有: 699.00 安全币

奖励: 115 安全币
在线: 1899 点
帖子: 50
小弟最近做一数据库安全项目,对于对其他部门的要求,打算从技术和管理两个角度去说。

技术的话,打算搞个数据库安全的checklist,再搞个脆弱性评估工具检查

管理的话,目前思路还不清晰,比较乱,零零散散的有一些想法:

1、要求各部门列出本部门的敏感数据库、核心数据库
2、要求各部门列出本部门人员都需要访问哪些数据库(who what how when why where)(谁要访问账号多少、访问哪个数据库、如何访问、何时访问、为什么要访问、从哪个IP访问) 此条的目地是,打算把他们列出来的搞成白名单,其它的统统阻止 当然他们列出来了,我就告诉他们,以后只能这么搞,不这么搞是违法的。。。
3、ssh直连数据库宿主机必须通过双因素认证(这个是不是放到技术里好)
4、数据要进行加密(这个是不是放到技术里好)
5、列出所有数据库的访问特性、操作特性(人或者一个自动运行的脚本需要什么时间访问、需要做什么操作) 此类也是白名单,违背的统统干掉
6、另外牵涉到业务特性的,比如对于某个数据库理论上来说,在某个时间点的不应该有人访问的,我打算此类搞个黑名单,在此时间点访问就告警,诸如这样跟业务特性相关的,我该如何让其它部门给出哪些时间点 这个是关别人权限的,估计都不愿意给答案啊 还有这条感觉跟白名单达到的效果有重复啊,个人感觉如果白名单搞的很NB了,这个就不需要了,实施起来,白名单跟黑名单的获取,白名单也要容易些啊
7、外包项目的管理,这个要如何确保外包人员的权限、帐号都是合规的,项目结束后,如何及时收回权限 这个要怎么具体化对外包人员访问数据库 以及帐号权限的要求?
8、职责分离


暂时只想到这么多,请各位大牛指点下,手中数据库安全 管理方面的要求暂无资料,哪位有的话,请提供下,谢谢!


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库安全项目求指点
帖子发表于 : 2011-09-26 19:06 
离线
初级用户

注册: 2011-03-28 12:16
最近: 2015-12-17 11:45
拥有: 699.00 安全币

奖励: 115 安全币
在线: 1899 点
帖子: 50
小弟需要数据库安全 管理层面的资料,哪位大牛有,请发我邮箱下吧 527518@qq.com

谢谢!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库安全项目求指点!
帖子发表于 : 2011-09-27 09:38 
离线
高级用户

关注按钮

注册: 2009-10-07 21:28
最近: 2017-12-10 23:07
拥有: 4,360.00 安全币

奖励: 2350 安全币
在线: 6350 点
帖子: 189
地址: 深圳
管理风险建议事前预防的角度,审计产品是事后审计取证,但损失已经发生,买审计产品本身不能减低安全风险,关键还是在处理和数据库有关的安全风险评估和处理上,否则没具体的回报。还有就是审计策略的合理性,应考虑从数据库的重要程度和告警及策略的业务需求转化而来。

你的思路是对的,处理外围风险是关键,没有减低数据库本身的风险的审计产品都是事后炮~ 不用找什么资料了,关键不在产品,在于怎么处理和业务相关的风险,产品没告诉你怎么处理,这基本是你自己的事儿


--------本帖迄今已累计获得40安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库安全项目求指点!
帖子发表于 : 2011-09-27 10:05 
离线
初级用户

注册: 2011-03-28 12:16
最近: 2015-12-17 11:45
拥有: 699.00 安全币

奖励: 115 安全币
在线: 1899 点
帖子: 50
5023749 写道:
管理风险建议事前预防的角度,审计产品是事后审计取证,但损失已经发生,买审计产品本身不能减低安全风险,关键还是在处理和数据库有关的安全风险评估和处理上,否则没具体的回报。还有就是审计策略的合理性,应考虑从数据库的重要程度和告警及策略的业务需求转化而来。

你的思路是对的,处理外围风险是关键,没有减低数据库本身的风险的审计产品都是事后炮~ 不用找什么资料了,关键不在产品,在于怎么处理和业务相关的风险,产品没告诉你怎么处理,这基本是你自己的事儿


嗯 数据库审计项目不单单是审计,这里面是需要很多管理和技术手段来支撑的,只有把数据库情况都摸清楚了,审计产品才能有针对的下药,至于降低安全风险,小弟认为,搞个具备阻断功能的审计产品,丢上去跑一段只开检测,策略优化的很好没误报了,把结果丢给boss看,boss说开阻断,那就开

现在比较迷茫的是我具体需要哪些管理手段?


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库安全项目求指点!
帖子发表于 : 2011-09-27 10:31 
离线
高级用户

关注按钮

注册: 2009-10-07 21:28
最近: 2017-12-10 23:07
拥有: 4,360.00 安全币

奖励: 2350 安全币
在线: 6350 点
帖子: 189
地址: 深圳
阻断估计会有误杀行为,如果能为这个业务行为负责就可以开,呵呵。
你说的管理手段,应该是从技术(数据库、主机、维护工具)还有运维安全管理、法规方面找到风险,考虑转换成管理要求,通过技术和管理措施来落实执行吧


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库安全项目求指点!
帖子发表于 : 2011-09-27 10:45 
离线
初级用户

注册: 2011-03-28 12:16
最近: 2015-12-17 11:45
拥有: 699.00 安全币

奖励: 115 安全币
在线: 1899 点
帖子: 50
5023749 写道:
阻断估计会有误杀行为,如果能为这个业务行为负责就可以开,呵呵。
你说的管理手段,应该是从技术(数据库、主机、维护工具)还有运维安全管理、法规方面找到风险,考虑转换成管理要求,通过技术和管理措施来落实执行吧


嗯。阻断这个事情等到时上了看看情况再说

管理手段我感觉就是从你说的那几个方面找到风险,转换为管理要求来规避这些风险,不知哥们有无此类管理要求资料啊?自己想的感觉不全
另外我感觉还需要从配合审计的角度要求其他部门提供一些信息,比如 XXX需要在什么时间段访问XX数据库之类的,这样方便我制定策略


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 数据库安全项目求指点!
帖子发表于 : 2011-09-27 11:31 
离线
高级用户

注册: 2003-11-14 13:53
最近: 2014-09-15 09:52
拥有: 5,142.40 安全币

奖励: 649 安全币
在线: 6241 点
帖子: 224
关于这个话题,有两点要提醒重视:
1.数据库安全一定不要忘记优先考虑数据备份和恢复
只见毫毛而不见睫毛,常见的措施也是容易被忽视的,无数惨痛经验提醒我们:忽视备份的代价也许是你不能承受之痛。

2.进行访问控制和监控是必要的,但基于业务活动的访问控制很难落实。
梳理各数据库的业务活动就很难操作,一方面,业务活动本身是敏感信息,由此是否会引入新的风险还很难说。另一方面,实际调研的阻碍和难度太,而且业务活动因频繁变动和各种特殊例外情况而难以掌握。


--------本帖迄今已累计获得19安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 数据库安全项目求指点!
帖子发表于 : 2011-09-30 11:39 
离线
新手

注册: 2004-06-23 13:51
最近: 2014-07-07 11:02
拥有: 251.80 安全币

奖励: 4 安全币
在线: 1920 点
帖子: 14
1、调研,很重要
包括数据库网络环境、架构、前端应用、运维方式和工具、数据类型和机密性等级、数据库用户和权限、流程、日志、备份等,输出风险现状矩阵,和业务方确认。
下一步基本上从两方面入手,数据库架构,数据库运维。
2、架构
业务访问的网络环境,安全边界隔离
是否需要分等级、分区域保护?
机密类数据统一加密方案
3、运维
运维访问的网络环境,如部署跳板机统一审计登录和操作日志
运维访问授权流程、人员名单和权限梳理
数据流量监控
4、以上控制措施的checklist,定期检查
5、完善一个数据库安全规范进行指导和遵循


--------本帖迄今已累计获得44安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 8 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012