 |
6.2 Базы данных. Безопасность сервера физической базы данных. Брандмауэры для серверов баз данных. Программное обеспечение базы данных
|
|
|
|
6. 2 Базы данных
Укрепление базы данных — это процесс анализа и настройки вашей базы данных для устранения уязвимостей безопасности путем применения рекомендуемых передовых методов и внедрения наборов продуктов, процессов и процедур безопасности.
Список рекомендаций по укреплению базы данных был разработан системными администраторами IST в качестве руководства по обеспечению безопасности баз данных, в которых хранятся конфиденциальные или защищенные данные. Реализация этих мер безопасности поможет предотвратить потерю данных, утечку или несанкционированный доступ к вашим базам данных.
Безопасность сервера физической базы данных
· Физическая машина, на которой размещена база данных, размещена в защищенной, заблокированной и контролируемой среде для предотвращения несанкционированного проникновения, доступа или кражи.
· Серверы приложений и веб-серверы не размещаются на том же компьютере, что и сервер базы данных.
Брандмауэры для серверов баз данных
· Сервер базы данных расположен за брандмауэром с правилами по умолчанию, запрещающими весь трафик.
· Брандмауэр сервера базы данных открыт только для определенных приложений или веб-серверов, а правила брандмауэра не разрешают прямой доступ клиентов. Если среда разработки не может удовлетворить этому требованию, то защищенные данные не сохраняются на сервере базы данных разработки, а фиктивные данные создаются для разработки. Запутывания производственных данных недостаточно.
· Действуют процедуры контроля изменений правил брандмауэра, и уведомления об изменениях правил рассылаются системным администраторам (SA) и администраторам баз данных (DBA).
|
|
|
· Правила брандмауэра для серверов баз данных поддерживаются и регулярно проверяются системными администраторами и администраторами баз данных. При использовании службы брандмауэра, предоставляемой IST, правила также регулярно пересматриваются Управлением информационной безопасности (ISO).
· Регулярно проверяйте защиту компьютера и правила брандмауэра с помощью сканирования сети или разрешая сканирование ISO через брандмауэр.
Программное обеспечение базы данных
· Версия программного обеспечения базы данных в настоящее время поддерживается поставщиком или проектом с открытым исходным кодом, как того требуют минимальные стандарты безопасности кампуса.
· Все неиспользуемые или ненужные службы или функции базы данных удаляются или отключаются.
· Ненужные учетные записи по умолчанию удаляются, либо пароли изменяются по умолчанию.
· Нулевые пароли не используются, а временные файлы из процесса установки, которые могут содержать пароли, удаляются.
· Программное обеспечение базы данных исправлено, чтобы включить все текущие исправления безопасности. Предусмотрены меры для своевременного обновления уровней исправлений безопасности.
Приложение / Веб-серверы / Код приложения
· Целевые системы (приложения/веб-серверы), получающие защищенные данные, защищены способом, соответствующим мерам безопасности исходной системы. Все серверы и клиенты соответствуют минимальным стандартам безопасности.
· Все серверы, приложения и инструменты, которые обращаются к базе данных, задокументированы.
· Файлы конфигурации и исходный код заблокированы и доступны только для необходимых учетных записей ОС.
· Код приложения проверяется на наличие уязвимостей SQL-инъекций.
· Никакое «шпионское ПО» не допускается на серверах приложений, веб-сайтов или баз данных.
|
|
|
Пользовательские/клиентские рабочие станции
· Если пользователям разрешено хранить защищенные данные на своих рабочих станциях, то клиентские рабочие станции соответствуют минимальным стандартам безопасности.
· Если пользователям разрешены защищенные данные на их рабочих станциях, то рабочая станция защищена от несанкционированного доступа к сеансу путем развертывания экранных заставок. Пользователи понимают требование запирать свои рабочие станции при уходе со станции.
· Если пользователям разрешены защищенные данные на их рабочих станциях, то рабочая станция должна требовать индивидуального логина и пароля.
· Если пользователям разрешены защищенные данные на их рабочих станциях, то защищенные данные на клиентской рабочей станции шифруются операционной системой рабочей станции.
· Защищенные данные не хранятся на переносных устройствах.
· Защищенные данные никогда не отправляются по электронной почте ни в теле письма, ни в виде вложения, ни пользователями, ни как автоматизированная часть системы.
· Защищенные данные, которые больше не нужны, регулярно удаляются.
· Если пользователям разрешено хранить защищенные данные на своих рабочих станциях, то никакие «шпионские программы» не допускаются на клиентских рабочих станциях.
|
|
|
