數(shù)據(jù)庫是存放數(shù)據(jù)、經(jīng)常是那些高敏感度數(shù)據(jù)的寶庫，因此它也毫無疑問的是合規(guī)檢查程序的重點(diǎn)區(qū)域。幾乎所有的企業(yè)合規(guī)都會(huì)對(duì)哪些人、能在什么時(shí)間、訪問什么數(shù)據(jù)庫作出規(guī)定，并且需要一個(gè)專職人員來管理這些權(quán)限。本文，我們將討論針對(duì)數(shù)據(jù)庫合規(guī)的基本數(shù)據(jù)庫安全要求，如PCI DSS和HIPAA，以及為了遵守合規(guī)要求用于管理數(shù)據(jù)庫權(quán)限和維護(hù)的***實(shí)踐。

最常見的五大企業(yè)核心數(shù)據(jù)庫環(huán)境是：1、微軟的SQL Server數(shù)據(jù)庫；2、IBM的DB2數(shù)據(jù)庫；3、MySQL數(shù)據(jù)庫；4、Oracle數(shù)據(jù)庫；5、Postgres數(shù)據(jù)庫。這些數(shù)據(jù)庫在***實(shí)施安裝時(shí)都能夠恰當(dāng)?shù)嘏渲谩⒓庸?、保護(hù)及鎖定。真正的挑戰(zhàn)是理解那些實(shí)際上需要到位的重要組件。這不只是對(duì)數(shù)據(jù)庫本身，還有容納操作系統(tǒng)和數(shù)據(jù)庫的服務(wù)器。

PCI DSS當(dāng)前對(duì)于數(shù)據(jù)庫要求有下述明確的控制措施：

◆對(duì)訪問任意數(shù)據(jù)庫的所有用戶進(jìn)行認(rèn)證。

◆所有用戶訪問任何數(shù)據(jù)庫時(shí)，用戶的查詢和操作（例如移動(dòng)、拷貝和刪除）只能通過編程性事務(wù)（例如存儲(chǔ)過程）。

◆數(shù)據(jù)庫和應(yīng)用的配置設(shè)置為只限于給DBA（數(shù)據(jù)庫管理員）的直接用戶訪問或是查詢。

◆對(duì)于數(shù)據(jù)庫應(yīng)用和相關(guān)的應(yīng)用ID，應(yīng)用ID只能被應(yīng)用使用，而不能被單獨(dú)的用戶或是其它進(jìn)程使用。

就HIPAA法案來說，上述的措施沒有作為HIPAA合規(guī)要求的內(nèi)容特別寫出來，但是應(yīng)當(dāng)看作是用于合規(guī)遵從的***安全控制組合，并且最終有助于滿足HIPAA中安全條款的需要。具體來說，HIPAA的規(guī)定條款如下：

◆確保所有新建、接收、維護(hù)或是傳輸中的電子個(gè)人健康信息（e-PHI）的保密性、完整性和可用性。

◆辨識(shí)和防范那些對(duì)信息的安全性或完整性來說合理的、可預(yù)見的威脅。

◆防范那些合理的、可預(yù)見的、不允許的濫用或是泄漏；并且

◆確保他們所有員工的合規(guī)性。

此外，除了滿足像PCI DSS這樣的合規(guī)要求外，下述是應(yīng)該考慮的***實(shí)踐、可用來確保上面列出的所有數(shù)據(jù)庫環(huán)境的安全。

就運(yùn)行數(shù)據(jù)庫的主機(jī)的操作系統(tǒng)來說，以下的***實(shí)踐應(yīng)該到位：

1. 系統(tǒng)管理員和其他相關(guān)的IT人員應(yīng)該擁有充分的知識(shí)、技能并理解所有關(guān)鍵操作系統(tǒng)的安全要求。

2. 當(dāng)部署操作系統(tǒng)到受管理的服務(wù)環(huán)境中時(shí)，應(yīng)采用行業(yè)領(lǐng)先的配置標(biāo)準(zhǔn)和配套的內(nèi)部文檔。

3. 在操作系統(tǒng)上應(yīng)該只啟用那些必需的和安全的服務(wù)、協(xié)議、守護(hù)進(jìn)程和其它必要的功能。

4. 操作系統(tǒng)上所有不需要的功能和不安全的服務(wù)及協(xié)議應(yīng)該有效地禁用。

5. Root帳戶應(yīng)該選擇唯一的密碼進(jìn)行恰當(dāng)?shù)胤雷o(hù)并定期更換。

6. Root帳戶應(yīng)只限于需要的最少的人知道。

7. 應(yīng)該將Syslog配置為文件發(fā)送和syslog數(shù)據(jù)復(fù)制到一臺(tái)集中的syslog服務(wù)器，從而用來評(píng)審日志信息。

8. “最小權(quán)限”的準(zhǔn)則，即聲明只應(yīng)賦予用戶能夠有效地和正常地完成他們工作所需的權(quán)限，在考慮操作系統(tǒng)的訪問權(quán)限時(shí)應(yīng)當(dāng)考慮。

9. 應(yīng)該保證操作系統(tǒng)應(yīng)用了所有相關(guān)的和關(guān)鍵的安全補(bǔ)丁。

對(duì)于實(shí)際的數(shù)據(jù)庫本身，推薦以下的***實(shí)踐：

1. 應(yīng)當(dāng)有恰當(dāng)?shù)娜藛T維護(hù)和更新用戶名單，其中這些用戶可以訪問受管理的應(yīng)用服務(wù)環(huán)境中數(shù)據(jù)庫。

2. 系統(tǒng)管理員和其他相關(guān)的IT人員應(yīng)該有充分的知識(shí)、技能并理解所有的關(guān)鍵的數(shù)據(jù)庫安全要求。

3. 當(dāng)部署數(shù)據(jù)庫到受管服務(wù)環(huán)境中時(shí)，應(yīng)該采用行業(yè)領(lǐng)先的配置標(biāo)準(zhǔn)和配套的內(nèi)部文檔。

4. 對(duì)于數(shù)據(jù)庫功能不需要的默認(rèn)用戶帳戶，應(yīng)該鎖定或是做過期處理。

5. 對(duì)于所有仍在使用中的默認(rèn)用戶帳戶，應(yīng)該主動(dòng)地變更密碼以采用強(qiáng)密碼措施。

6. 應(yīng)該給數(shù)據(jù)庫內(nèi)的管理員帳戶分配不同的密碼，這些帳戶不應(yīng)使用共享密碼或組密碼。

7. 措施要到位，用于保護(hù)數(shù)據(jù)字典以及描述數(shù)據(jù)庫中所有對(duì)象的支持性元數(shù)據(jù)。

8. 對(duì)于任何訪問數(shù)據(jù)庫的基于主機(jī)的認(rèn)證措施，應(yīng)當(dāng)有足夠的適當(dāng)?shù)倪^程來確保這種訪問類型的整體安全。

9. 數(shù)據(jù)庫監(jiān)控應(yīng)到位，由能夠根據(jù)需要對(duì)相關(guān)的人員進(jìn)行告警的工具組成。

10. 保證數(shù)據(jù)庫應(yīng)用了所有相關(guān)的和關(guān)鍵的安全補(bǔ)丁。

因此，公司應(yīng)該首先具有得到良好培訓(xùn)、在數(shù)據(jù)庫安全方面具有豐富知識(shí)的IT職員，并且擁有用來實(shí)施有效的數(shù)據(jù)庫安全必需的配置指導(dǎo)方針和加固文件。對(duì)于所有現(xiàn)有的數(shù)據(jù)庫平臺(tái)和未來要安裝的數(shù)據(jù)庫而言，要有高度結(jié)構(gòu)化和標(biāo)準(zhǔn)化的方法，從而有效地對(duì)數(shù)據(jù)庫環(huán)境進(jìn)行配置、加固、保護(hù)和鎖定。遵循這些***實(shí)踐，不出意外的話，你企業(yè)在數(shù)據(jù)庫合規(guī)方面的任何努力會(huì)在下次評(píng)估收尾時(shí)得到可觀的回報(bào)。