Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Учетные записи администраторов/разрешения/пароли




Учетные записи администраторов/разрешения/пароли

· Администраторы баз данных понимают свою ответственность за проверку всех запрошенных изменений скриптов и баз данных, чтобы убедиться, что безопасность системы не нарушена.

· Учетные записи с возможностями системного администрирования предоставляются как можно меньшему числу лиц и только в том случае, если это необходимо для поддержки приложения.

· Все разработчики, поставщики, системные администраторы, администраторы баз данных и подрядчики подписали соглашение о неразглашении.

· Все разработчики, системные администраторы, администраторы баз данных и подрядчики прошли проверку на наличие судимостей, если этого требует политика проверки данных. С политикой проверки биографических данных можно ознакомиться по адресу http: //campuspol. chance. berkeley. edu/Policies/BackgroundChecks. htm. (ссылка внешняя)

· Учетные записи операционной системы, используемые персоналом администратора баз данных для входа на компьютеры сервера данных для выполнения административных функций, являются индивидуальными учетными записями, а не общей групповой учетной записью.

· Когда это возможно, учетная запись операционной системы демона, необходимая для запуска процесса сервера данных, не разрешает прямой вход в систему.

· Вместо этого для входа в систему используются отдельные учетные записи ОС, затем sudo или su для учетной записи демона (для UNIX) или запрет входа в систему с рабочего стола (Windows).

· Учетные записи базы данных, используемые персоналом администратора баз данных для выполнения административных функций, являются индивидуальными учетными записями, а не общей групповой учетной записью.

· Групповая учетная запись разрешена для запуска автоматизированных заданий по обслуживанию и мониторингу баз данных, таких как резервное копирование.

· Эта групповая учетная запись не используется для выполнения ежедневных интерактивных задач группой администраторов баз данных, за исключением случаев, когда это необходимо для устранения неполадок в работе по обслуживанию и мониторингу.

· Пароли для всех учетных записей операционных систем администраторов баз данных и учетных записей баз данных являются надежными паролями и меняются, когда администраторы/подрядчики увольняются. См. Рекомендации по сложности пароля.

· Если роли администратора базы данных и разработчика выполняет один человек, изменения утверждаются владельцем данных.

Роли базы данных пользователей / Разрешения / Пароли / Управление и отчетность

· Используется безопасная аутентификация в базе данных.           

· Процедура предоставления и проверки доступа к базе данных задокументирована. Владелец данных подписал документ с процедурами.

· Только авторизованные пользователи имеют доступ к базе данных.           

· Пользователям предоставляются минимальные разрешения, необходимые для их работы в базе данных. Разрешения управляются с помощью ролей или групп, а не путем прямого предоставления идентификаторов пользователей, где это возможно.           

· Надежные пароли в базе данных применяются, когда это технически возможно, а пароли базы данных шифруются при сохранении в базе данных или при передаче по сети.           

· Для приложений требуется индивидуальный логин/пароль базы данных и роли/гранты, когда это возможно. Когда это невозможно, можно использовать учетные записи приложений. Однако в этом случае логин и пароль должны быть защищены, и эта информация отсутствует на клиентской рабочей станции.

· Приложения должны управлять разрешениями пользователей и аудитом, чтобы соответствовать требованиям владельцев данных.           

· Объекты пользовательской базы данных с защищенными данными не имеют общедоступных разрешений, когда это возможно. При необходимости документируйте любые государственные гранты в базах данных с защищенными данными.           

· Учетные записи, не являющиеся администраторами баз данных, не позволяют предоставлять роли или разрешения в любой среде с защищенными данными (QA, Production, Dev).

· Учетные записи базы данных блокируются не более чем после шести неудачных попыток входа в систему.           

· Процедура обращения с неактивными пользователями задокументирована и одобрена Собственником данных.           

· Отчет о повышенных правах доступа к базе данных предоставляется владельцу данных администраторами баз данных ежеквартально.

· Отчет обо всех правах доступа для пользователей регулярно предоставляется владельцу данных администраторами баз данных. Два раза в год - рекомендуемый интервал.

Защищенные данные

· В базе данных хранятся только защищенные данные, необходимые для бизнес-функций. Когда это возможно, историческая информация удаляется, когда она больше не требуется.

· Избыточность защищенных данных устраняется во всей системе, и по возможности избегается дублирование защищенных данных за пределами системы записи. Функции хэширования применяются к защищенным элементам данных перед сохранением, если данные требуются только для сопоставления. Если возможно, отделите защищенные данные от информации, позволяющей установить личность, и держите их в автономном режиме до тех пор, пока они не потребуются. Если передача данных требуется для других приложений, уведомите их о защищенных данных и требованиях к их безопасности.

· Защищенные данные в непроизводственных средах соответствуют тем же стандартам безопасности, что и производственные системы. В тех случаях, когда непроизводственные среды не соответствуют тем же стандартам безопасности, которые требуются в производственных средах, данные в этих непроизводственных средах должны быть либо зашифрованы с использованием стандартных отраслевых алгоритмов, либо для этих систем должны быть подготовлены тестовые данные. Запутывания данных недостаточно.

· Защищенные элементы данных в базе данных документируются.

· Защищенные данные никогда не используются в качестве ключа в таблице.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...