不論是在政府機關,還是在各大企業(yè)中,數據庫的安全問題都是至關重要的��,為此唯學小編特整理了以下內容,為您詳細的介紹一下有關數據庫的安全政策問題�����,望準備參加數據庫工程師考試的考生能夠認真查看�,詳細了解�����,具體內容如下:
從技術上來說�,為了準確判斷需要哪個安全政策,你需要執(zhí)行信息風險評估��。然而����,我理解��,現實情況經常會導致其它內容��。就是說�����,我可以考慮得很少��,如果有的話����,但是幾乎很少有不再要求我思考如下數據庫相關安全政策的環(huán)境出現:
·可接受的利用率——什么可以/不可以在數據庫服務器上完成�,例如網絡瀏覽和安裝/卸載中間件,以及個人防火墻保護�����,還有MSDE, SQL Server Express 2005�����,以及其它非服務器系統上的數據庫軟件的安裝��。
·認證控制——對于數據庫,以及有關應用程序和操作系統來說�,包括密碼的要求,多種成分的使用等�。
·業(yè)務合作——應對外部承包人、審計人員���、寄存提供者商等����,包括合同規(guī)定和應用的服務級別的協商�����。
·業(yè)務連續(xù)性——災難恢復和/或業(yè)務連續(xù)性計劃要求可以幫助你的數據庫保持運轉狀態(tài)�����,可以訪問��。
·變更管理——記錄誰���、為什么、在什么時候��,如何,以及所有相關的拆除過程�����。
·數據備份——什么���,什么時候�����,以及使用的方法���。
·數據保持和破壞——什么,為什么�����,使用的方法和時間線�����。
·加密——不僅覆蓋了靜止的數據���,例如加密特定的行�����,還覆蓋了傳輸的數據��,例如數據庫服務器和網絡應用程序之間的TLS�。數據備份也是覆蓋的一部分。
·信息分類——為信息貼上公共���、內部�、機密等標簽��。
·物理安全——構建���,數據中心和服務器的安全���。
·財產的刪除——服務器,驅動�,磁帶,和其它財產�。
·安全測試和審計——什么�,如何,什么時候�,以及誰執(zhí)行的測試�,用的什么工具����。
·職責的分隔——用戶,數據庫管理員�����,安全審計員���,以及其它與數據庫管理有關的人的角色/職責����。
·系統維護——打補丁��,系統清理/清楚和中間件的更新����。
·系統監(jiān)控和意外事件的響應——誰,為什么����,什么時候,以及如何進行實時監(jiān)控和記錄審計日志��,還有為了維護正式的意外響應計劃所需要的特殊需求。
·用戶授權——添加/刪除用戶��,授予誰����,為什么,什么時候���,多長時間的管理權限���。
