登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
我们需要共同协作
安全问题不是某个个人的职责,关键需要团队的协作。这对于应用程序的安全问题来说更是如此,信息安全人员、开发人员、系统和数据库管理员都包括在内,这就是团队协作。除非你所在的单位已经拥有了一个成熟的安全环境,而且已经使用安全类库来处理数据库调用和数据验证,在数据库和应用程序之间有一层数据访问层,并确保所有的数据库权限都受到了严格的限制,在这种情况下应当让所有团队成员参与并且了解高层次的应用程序。通过共同协作,所有人都可以了解到这些安全威胁,随后可以共同想出更好的解决方案来应对。所有参与网络应用和数据库开发维护管理的人员都应该对目前存在的安全威胁有一个充分的认识和理解,这是非常重要的。我们必须要确保所有人员都理解应用程序的所有技术通信原理和数据流,了解数据从哪里来,如何到那里去的,以及数据是否和多个应用程序进行通信。这就是关于数据库保护的第一层措施。
数据库保护的第二层措施是安全架构。安全设计的基础有时候也被称作为安全架构,也就是说当我们以安全的方式设计数据库环境时,应减少安全威胁。如果攻击者无法直接访问数据库,这样就降低了他们攻击的灵活性。我们为攻击者提供的活动空间越大,他们就越容易得手。同样的,从相反的角度来看,我们就需要在后续做更多的工作,也就是说你必须确保对数据库的访问仅限于在需要的情况下进行系统访问,而且所有的访问都经过认证和加密的,而且不能影响到会话池。保证网络和系统设计的安全将会对保护数据库大有帮助,添加了数据库访问路径的限制能够大大地降低风险。
数据库保护的第三层措施是威胁建模。确定威胁的过程被称为是威胁建模,过去威胁建模是用在应用程序安全方面,用于确定应用程序的最高风险,这样安全人员就可以重点关注在这一领域。这个概念开始延用到安全的其它领域中。应注意的是这不是一个新的理念,实际上保险行业已经采用此理念有数百年的历史了,我们互联网行业只是最近几年才吸纳这一理念,并开始就此主题发表了许多文章。
威胁建模包括将那些了解此应用程序的人以及相关领域的专家召集在一起,大家共同理解应用程序的不同部分、功能性和固有的威胁。花一定的时间来全面理解此应用程序以及相关的威胁,可以定制出相对应的保护和测试方案,可以节省时间或者在有限的时间和预算范围内最大程度地降低威胁。威胁建模对于安全人员来说可以提供一种很好的手段来掌握全局、分解风险区域并与各小组单独协作,确保保护措施落到实处。
在对多个应用程序或开发项目进行威胁建模时,应作好记录,找到应用程序的共通性。这些共通性可以用于审查内部数据库访问标准、授权访问以及优化访问过程。
在编写策略时应当涵盖常见情况,并且明确地为开发人员和数据库管理人员提供指导,确保人人手中都有一份参考资料。一旦这些步骤执行到位后,可以开始从基础做起向数据库环境添加安全措施。
虽然各个系统环境都不相同,但是数据库配置对于保护数据是最为重要的部分之一,应当实现的常见配置有:
1.应当有恰当的人员维护和更新用户名单,其中这些用户可以访问受管理的应用服务环境中数据库。
2.系统管理员和其他相关的IT人员应该有充分的知识、技能并理解所有的关键的数据库安全要求。
3. 当部署数据库到受管服务环境中时,应该采用行业领先的配置标准和配套的内部文档。
4. 对于数据库功能不需要的默认用户帐户,应该锁定或是做过期处理。
5. 对于所有仍在使用中的默认用户帐户,应该主动地变更密码以采用强密码措施。
6. 应该给数据库内的管理员帐户分配不同的密码,这些帐户不应使用共享密码或组密码。
7. 措施要到位,用于保护数据字典以及描述数据库中所有对象的支持性元数据。
8. 对于任何访问数据库的基于主机的认证措施,应当有足够的适当的过程来确保这种访问类型的整体安全。
9. 数据库监控应到位,由能够根据需要对相关的人员进行告警的工具组成。
10. 保证数据库应用了所有相关的和关键的安全补丁。
我们需要保护重要的数据
“一定要保护好数据库的重要数据”,因为数据库对于IT行业来说就好像是保管金银珠宝的保险库。如果保险库不安全,财宝就很容易失窃,那主人就不会开心。
保护数据库服务器的方式有网络分段、系统分离,并将数据库服务器放置在一层或多层保护网的后面。
有许多新的技术,包括数据库活动监控软件、数据丢失防护(DLP)、将数据库分割,放到依据数据分类或风险模型的系统中,还有确保低安全性的应用程序无法访问到高安全程度的数据库等。
根据访问权限和账号,如果有多个部门的用户因同一事件需要登陆进入同一应用程序,应该采取保护措施,以确保一个部门的人员无法访问另一个部门的数据。这可以在数据库层面上完成,方法是让各个部门分别创建各自的数据库或桌面;这样的话可以实现数据分离,而且可以使用不同的数据库账号来加以保护。应用程序可以使用单一账号用于非认证请求服务,比如说用户登录;一旦发生此类情况,应用程序可以将数据库账号切换至同用户部门相关联的另一个账号。在设定许可权限时要防止通用账户访问任何公司数据。
除此之外,部门A的数据库账号不能访问部门B的数据。这样就阻止了攻击者越过公司的安全防线并扩大其接触范围。在进行应用程序数据库账号转换时必须非常小心,因为攻击者可能通过SQL注入攻击来迫使应用程序改变其连接。在某些单位,开发人员会写下他们自己的SQL查询命令,而对于其它一些单位,查询命令是由数据库管理员来编写和优化,然后再提供给开发者。
在最安全的环境下,这些查询命令由数据库管理员编写和执行,作为存储过程。存储过程是由应用程序执行的预定义语句。这样就使得SQL注入攻击更加难于得到利用。在这种特殊情况下,如果没有存储过程的话,攻击者可能已经作为管理员登录进入此应用程序并且取得此数据库完全控制权,而且只需要得到管理员用户名称即可实现。
同时还需要建立敏感数据的安全边界。通过采取相应的技术措施,为用户的各种数据库建立一个关于数据的安全边界。我们可以将数据库服务器置于标准的网络防火墙后面,并限制访问,以确保我们了解什么系统能够访问你的数据库,从而降低风险。但是千万不要以为简单的配备一些防火墙就可以防范这些安全威胁,可能还会有其他我们未发现的未知风险存在!
安全人员在开发新的安全数据安全模型时,安全人员应该进行测试,以确保他们提供了需要的保护级别,并且没有引入新风险。最后关于实现数据基于策略的自动管理问题,它包括数据的分类、备份、迁移、删除等,实现全面的数据存储管理自动化,这样不但减少了人为出错的可能性,也提高了数据库的安全性和可用性。使用一套优质的解决方案按照标准的规范进行设计和部署,提供充分的灵活性、扩展性和安全性,满足数据库安全保管方面当前和今后的法规要求。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
河南省工业和信息化厅发布《零碳工厂评价规范》(征求意见稿),零碳工厂是指温室气体排放核算边界内,在一定时间内(通常以年度为单位)生产、服务过程中产生的温室气体排放量,按照二氧化碳当量计算,在自主减排的基础上,剩余排放量由核算边界外的减排项目清除,和(或)相应数量的碳信用抵消的工厂
6月20日,以“新形势·新安全”为主题的2024年能源网络安全大赛暨能源网络安全和信息化大会在江苏宜兴成功召开。来自电力、油气、煤炭等能源领域企事业单位,网络安全领域科研院所及产业单位代表、大赛决赛选手及案例路演代表共计600余人出席本次赛会活动。本次赛会由中国能源研究会主办,国网江苏省电
海南省工业和信息化厅发布关于开展2024年国家工业节能监察工作的通知,列入2024年国家工业节能监察计划的32家企业,以及与省发改委共同开展的15个2023年度固定资产投资项目节能审查发现问题后评价整改专项监察,合并后共计33家企业。海南省工业和信息化厅关于开展2024年国家工业节能监察工作的通知海口
2024—2026年,聚焦重点产业链、工业“六基”及战略性新兴产业、未来产业领域(以下称重点领域),通过财政综合奖补方式,分三批次重点支持“小巨人”企业高质量发展。2024年首批先支持1000多家“小巨人”企业,以后年度根据实施情况进一步扩大支持范围。财政部工业和信息化部关于进一步支持专精特新中
为加快构建绿色制造和服务体系,发挥绿色工厂在制造业绿色低碳转型中的基础性和导向性作用,打造绿色制造领军力量,推进工业绿色发展,助力工业领域碳达峰碳中和,陕西省工业和信息化厅发布《陕西省工业和信息化厅绿色制造名单奖励资金管理办法(征求意见稿)》,对工业和信息化部首次认定的国家级绿色
为加快构建绿色制造和服务体系,全面推广绿色制造,形成规范化、长效化培育机制,陕西省工业和信息化厅发布《陕西省工业和信息化厅绿色工厂梯度培育及动态管理暂行办法(征求意见稿)》,征求意见时间截止至2024年7月4日,详情如下:陕西省工业和信息化厅绿色工厂梯度培育及动态管理暂行办法(征求意见
甘肃省工业和信息化厅发布关于开展2024年度国家工业节能监察工作的通知,经统筹考虑行业特点、企业规模和监察内容等,确定专项节能监察任务总量为70户。甘肃省工业和信息化厅关于开展2024年度国家工业节能监察工作的通知甘工信函〔2024〕174号各市州工信局、兰州新区经发局:为贯彻落实《中华人民共和
广东省工业和信息化厅发布关于开展2024年度绿色制造名单推荐工作的通知,推荐范围包括绿色工厂、绿色工业园区、绿色供应链管理企业。广东省工业和信息化厅关于开展2024年度绿色制造名单推荐工作的通知粤工信节能函〔2024〕27号各地级以上市工业和信息化主管部门:为发挥绿色工厂在制造业绿色低碳转型中
6月4日,南方电网公司2024年第五批信息化项目单一来源公示。详情如下:南方电网公司2024年第五批信息化项目单一来源公示(采购编号:CG0000062001770757)1.采购条件本采购项目南方电网公司2024年第五批信息化项目,采购人为中国南方电网有限责任公司,项目资金已落实。该项目已具备采购条件,现对该项
6月4日,南方电网公司2024年第四批信息化项目招标,本次招标最高限价6.4亿元,共开展第四批共5个标的、39个标包信息化项目的公开招标工作,涉及系统建设类22项、专题研究类7项、技术服务类8项、设备采购类2项。详情如下:南方电网公司2024年第四批信息化项目招标公告(项目编号:CG0000022001770742)1
山东省工业和信息化厅发布关于组织开展2024年度省级绿色制造单位申报工作的通知,以全面加强绿色制造体系建设,加快建立绿色制造单位梯度培育机制,推动工业绿色转型发展。详情如下:山东省工业和信息化厅关于组织开展2024年度省级绿色制造单位申报工作的通知各市工业和信息化局,有关单位:为全面加强
为切实提升网络信息安全防护技能,全力做好集团公司网络安全攻防实战演练防守工作,5月15日,国能龙岩发电公司加强组织领导,从提高思想意识着手,严格遵守演练注意事项,做好应急管理等措施,不断强化网络信息安全。该公司要求全员切实提高政治站位,加强组织领导,按照谁主管谁负责,谁运营谁负贵,
3月26日,国网天津电科院以“查隐患、控风险、抓落实、保安全”为主线开展春季信息安全大检查,全面排查信息设备、信息系统、网络专线、科技产出系统等信息安全,保障企业网络设备安全稳定运行,提升公司整体网络安全防护水平。本次工作中,电科院以现场排查、梳理自查、专项督查等多种形式相结合,结
3月27日,国网光山县供电公司2名信息专业工作人员正在认真梳理公司信息网络设备地址,确保省市公司关于IP地址资源管理提升工作的相关要求落实落地落细,为企业网络安全、稳定、可靠、高效运行夯实基础。IP地址资源管理是网络安全和性能管理的关键组成部分,有效的IP地址管理可以帮助企业确保网络的可用
为进一步加强和规范网络信息安全管理,切实提升员工网络与信息安全的主观防护意识,今年以来,国能晋江热电公司从安全自查、公司排查和规范管理三方面行动,构筑网络信息安全防护墙。根据网络信息安全管理要求,该公司要求所有员工对所使用电脑进行自查,确保所有办公电脑全部安装集团360软件,提高安
2月7日,国网天津电科院开展春节前网络信息安全专项检查,筑牢节日期间信息网络安全防线,严防信息安全事故发生,多措并举确保信息网络安全运行可靠。电科院信息安全分管领导和科技管理部门负责人带队,有序组织信息专责及运维人员成立专项排查小组,结合信息设备和办公区域实际运行情况,分别前往东丽
为进一步推动网络信息安全建设,强化各级人员网络安全辨识能力,规范网络及终端安全办公,最近,盐城供电公司营销部组织员工进行网络信息安全专项培训,主要针对场所防护、终端防护以及互联网资产三方面进行宣贯学习,通过网络安全宣传教育专项工作,为公司网络信息安全筑起一道坚实的防线。盐城供电公
近日,广东燃料电池汽车示范应用城市群综合监管平台(简称“广东燃料电池汽车监管平台”)获得了国家公安部核准颁发的“信息系统安全等级保护二级备案证明”(简称“等保二级”)。据悉,国家等级保护认证是中国最权威的信息产品安全等级资格认证,认证由国家信息安全监管部门进行监督、检查,要求非常严
6月26日,国家能源局在京召开电力行业网络与信息安全联席会议全体会议,会议总结“十四五”以来电力网络安全工作,分析研判电力网络安全面临的形势和风险,部署“十四五”后半期和2023年电力网络安全重点工作。国家能源局党组成员、副局长余兵出席会议并讲话。会上,中央网信办、国家发展改革委、公安
国家能源局综合司关于调整电力行业网络与信息安全联席会议成员单位组成人员的通知国能综通安全〔2023〕69号电力行业网络与信息安全联席会议各成员单位:根据工作需要,决定对电力行业网络与信息安全联席会议成员单位组成人员进行调整。现将调整后的名单通知如下。召集人:余兵国家能源局党组成员、副局
北极星电力网获悉,国家能源局综合司发布关于调整电力行业网络与信息安全联席会议成员单位组成人员的通知,国能综通安全〔2023〕69号,详情如下:电力行业网络与信息安全联席会议各成员单位:根据工作需要,决定对电力行业网络与信息安全联席会议成员单位组成人员进行调整。现将调整后的名单通知如下。
10月11日,中电联党委书记、常务副理事长杨昆在中电联本部会见三六零安全科技股份有限公司(以下简称“360集团”)创始人、董事长兼CEO周鸿祎一行。双方就当前国内外信息安全形势和电力企业数字安全工作开展深入交流和探讨。杨昆在会谈中指出,多年来,电力行业高度重视信息化建设,持续开展信息化战略
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!