数据库安全规范

总原则

加强数据安全防护意识

最普遍、也是最具破坏性的错误往往都是人为造成的。例如,一个包含客户个人信息的U盘或笔记本电脑的丢失或被盗会对企业声誉造成恶劣的影响,还会带来高昂的罚款。因此,开展员工安全意识培训就是一项帮助员工意识到数据资产价值以及掌握安全处理数据能力的有效手段。

用户权限最小化原则

90%的漏洞攻击都需要所利用的账号具备一定的权限。所以请用户配置数据库帐号时,只给出能满足应用系统使用最小权限的账号,因为任何额外的权限都可能是潜在的攻击点。大部分大型数据泄露事件都是由内部员工造成的,因此严格控制数据访问权限和数据获取权限更显重要,也就是遵循所谓的最小权限原则。

开展数据风险评估

定期进行风险评估,发现组织内部的潜在风险。评估范围应包括方方面面,从数据泄露风险到物理威胁(如停电)。这项工作能够帮用户发现目前数据安全系统中的脆弱点,并从每一次的评估工作中,不断优化组织的数据保护模式。

定期安装数据库厂商提供的漏洞补丁

根据以往经验,可以形容为95%以上的数据库存在被黑客入侵的可能。然而,黑客使用的漏洞有时却并非0day一类,而恰恰是数据库厂商已发布过修复补丁的漏洞。因此,即便有时因应用系统等原因无法及时打补丁,也请通过虚拟补丁等技术暂时或永久加固数据库。

MySQL 安全基线

Oracle 安全基线