亚洲精品v日韩精品-国产妇女乱码一区二区三区-HD免费看片,大粗又爽又黄少妇毛片免费,亚洲国产精品伦理,韩国三级bd高清中文字幕下载

數(shù)據(jù)庫(kù)安全層

數(shù)據(jù)庫(kù)安全性分為三個(gè)主要層：

• 數(shù)據(jù)庫(kù)層
• 接入層
• 周邊層

下表提供了所有三個(gè)安全級(jí)別的說明：

數(shù)據(jù)庫(kù)安全最佳實(shí)踐

保護(hù)數(shù)據(jù)庫(kù)免受威脅需要結(jié)合采取不同的措施。這里總共有 15 個(gè)最有效的數(shù)據(jù)庫(kù)安全最佳實(shí)踐來(lái)保護(hù)您的存儲(chǔ)系統(tǒng)。

1. 確保物理數(shù)據(jù)庫(kù)安全

無(wú)論數(shù)據(jù)庫(kù)服務(wù)器位于現(xiàn)場(chǎng)服務(wù)器機(jī)房還是云提供商的數(shù)據(jù)中心，設(shè)備都必須駐留在安全、氣候受控的環(huán)境中。

如果您依賴第三方提供商進(jìn)行托管，則您將外包與物理安全相關(guān)的所有措施。如果您管理本地?cái)?shù)據(jù)中心，請(qǐng)通過以下方式保護(hù)數(shù)據(jù)庫(kù)服務(wù)器：

• 鎖。

• 云端視頻監(jiān)控。

• 專職保安人員。

• 不間斷電源（UPS）。

• 消防系統(tǒng)。

• 適當(dāng)?shù)睦鋮s系統(tǒng)。

記錄對(duì)服務(wù)器的所有物理訪問，并確保只有少數(shù)人有權(quán)配置設(shè)備。

2.使用2FA和MFA

到 2022 年，超過 67% 的數(shù)據(jù)泄露事件至少涉及一組泄露的憑證。您不應(yīng)使用僅需要密碼即可登錄的有風(fēng)險(xiǎn)的單因素身份驗(yàn)證 (SFA) 方法，而應(yīng)使用：

• 默認(rèn)用戶的雙因素身份驗(yàn)證 (2FA)。

• 管理員帳戶的多重身份驗(yàn)證 (MFA)。

對(duì)于最敏感的數(shù)據(jù)庫(kù)來(lái)說，對(duì)所有用戶使用 MFA 是一個(gè)流行的選擇。您還應(yīng)該通過僅允許經(jīng)過驗(yàn)證的IP 地址訪問文件來(lái)增強(qiáng)數(shù)據(jù)庫(kù)安全性（增強(qiáng)數(shù)據(jù)庫(kù)保護(hù)的多種端點(diǎn)安全措施之一）。

重要提示：使用 2FA 和 MFA 并不能消除對(duì)難以破解的密碼的需要。了解如何創(chuàng)建易于記憶且不易猜測(cè)的強(qiáng)密碼。

3. 強(qiáng)制執(zhí)行最小特權(quán)原則

有權(quán)訪問數(shù)據(jù)庫(kù)的實(shí)際最小用戶數(shù)。有權(quán)訪問的人越少，保護(hù)文件就越容易。

將相同的原則應(yīng)用于各個(gè)數(shù)據(jù)庫(kù)元素以及員工可以對(duì)文件執(zhí)行的操作。每個(gè)帳戶只能訪問所需的表和操作（例如 ｓｅｌｅｃｔ 或 ｉｎｓｅｒｔ）。同樣的邏輯也適用于非人類賬戶，包括：

• 守護(hù)進(jìn)程。

• 服務(wù)帳戶和主體。

• 應(yīng)用程序用戶帳戶。

您還應(yīng)該依賴零信任安全性。每次有人發(fā)出訪問請(qǐng)求時(shí)，該模型都會(huì)驗(yàn)證身份和設(shè)備合規(guī)性。

4. 防止SQL注入

SQL注入主要有兩種：

• 經(jīng)典 SQLi（黑客向數(shù)據(jù)庫(kù)發(fā)送命令并從輸出中收集結(jié)果）。

• 盲目 SQLi（黑客提出正確或錯(cuò)誤的問題并評(píng)估應(yīng)用程序響應(yīng)以獲得答案）。

您的團(tuán)隊(duì)?wèi)?yīng)采取以下措施停止這兩種類型的注射：

• 參數(shù)化查詢。

• 輸入驗(yàn)證。

• 用戶輸入的凈化。

• Web 應(yīng)用程序防火墻 (WAF)。

注意：我們關(guān)于SQL 注入的文章深入探討了如何識(shí)別和有效防止此類網(wǎng)絡(luò)攻擊。

5.使用代理服務(wù)器

代理服務(wù)器在將請(qǐng)求發(fā)送到數(shù)據(jù)庫(kù)服務(wù)器之前檢查請(qǐng)求。如果有人發(fā)送虛假流量或惡意請(qǐng)求（即 SQL 注入或受勒索軟件感染的可執(zhí)行文件），代理服務(wù)器將包含影響并隔離威脅。

雖然有些公司使用基于 HTTP 的代理服務(wù)器，但您應(yīng)該設(shè)置 HTTPS 服務(wù)器來(lái)保護(hù)包含敏感信息的數(shù)據(jù)庫(kù)。HTTPS 服務(wù)器對(duì)所有數(shù)據(jù)進(jìn)行加密，為數(shù)據(jù)庫(kù)提供了額外的安全層。

6. 維護(hù)數(shù)據(jù)清單（或地圖）

存儲(chǔ)大量數(shù)據(jù)的公司通常不知道文件所在的確切位置以及如何保護(hù)它們的安全。為了避免這種情況，請(qǐng)維護(hù)一份詳細(xì)的清單，其中注明以下內(nèi)容：

• 每個(gè)數(shù)據(jù)集駐留在哪里（以及處于什么狀態(tài)）。

• 哪些員工、帳戶和應(yīng)用程序可以訪問文件。

• 您使用什么措施來(lái)保護(hù)個(gè)人數(shù)據(jù)集。

清單有助于更好地管理您的數(shù)據(jù)庫(kù)安全工作，還有助于：

• 風(fēng)險(xiǎn)管理。

• 業(yè)務(wù)影響分析 (BIA)。

• 監(jiān)管合規(guī)性。

• 修補(bǔ)優(yōu)先級(jí)。

或者，創(chuàng)建數(shù)據(jù)地圖以實(shí)現(xiàn)與清單相同的目的（或同時(shí)使用兩者）。

此外，定期進(jìn)行訪問審查，以確保隨著團(tuán)隊(duì)的成長(zhǎng)和啟動(dòng)新項(xiàng)目，數(shù)據(jù)庫(kù)權(quán)限沒有缺陷。這些審查使安全團(tuán)隊(duì)能夠刪除舊的和不必要的權(quán)限。

7. 保持?jǐn)?shù)據(jù)庫(kù)服務(wù)器和 DMS 平臺(tái)最新

始終使用最新版本的 DMS。一旦供應(yīng)商發(fā)布補(bǔ)丁（服務(wù)包、安全修補(bǔ)程序、累積更新等），請(qǐng)立即應(yīng)用它們，以確保犯罪分子沒有時(shí)間利用漏洞。

保持 DMS 最新的另一個(gè)好處是可以提高數(shù)據(jù)庫(kù)性能的穩(wěn)定性。

良好的補(bǔ)丁衛(wèi)生也適用于所有有權(quán)訪問數(shù)據(jù)庫(kù)的應(yīng)用程序和系統(tǒng)。如果具有過時(shí)且易受攻擊的插件的應(yīng)用程序可以直接訪問文件，那么高級(jí)別的數(shù)據(jù)庫(kù)安全性將無(wú)濟(jì)于事。

8.充分利用加密 

使用靜態(tài)加密來(lái)保護(hù)數(shù)據(jù)免遭盜竊、網(wǎng)絡(luò)間諜和泄露。加密使黑客和惡意內(nèi)部人員（即沒有解密密鑰的任何人）都無(wú)法讀取文件。

您還應(yīng)該使用傳輸加密來(lái)保護(hù)文件在不同系統(tǒng)之間移動(dòng)時(shí)的安全。確保與數(shù)據(jù)庫(kù)的所有連接都使用 TLS 加密。

重要提示：在開始加密業(yè)務(wù)數(shù)據(jù)之前，請(qǐng)了解密鑰管理和最佳實(shí)踐。

9.多次登錄嘗試后自動(dòng)鎖定

如果用戶多次輸錯(cuò)密碼，數(shù)據(jù)庫(kù)服務(wù)器必須自動(dòng)鎖定該帳戶，防止其再次嘗試登錄。您可以：

• 將帳戶鎖定預(yù)定的時(shí)間段。 

• 指示用戶聯(lián)系安全團(tuán)隊(duì)以重新獲得對(duì)數(shù)據(jù)庫(kù)的訪問權(quán)限。

有人多次輸入錯(cuò)誤的密碼是基于密碼的攻擊的跡象。限制攻擊者在這種情況下的嘗試次數(shù)對(duì)于將他們排除在數(shù)據(jù)庫(kù)之外至關(guān)重要。

10.隔離數(shù)據(jù)庫(kù)

避免將數(shù)據(jù)庫(kù)與應(yīng)用程序（甚至其他數(shù)據(jù)庫(kù)）保留在同一服務(wù)器上。雖然將所有內(nèi)容都保存在一臺(tái)服務(wù)器上更容易、更便宜，但這種策略會(huì)產(chǎn)生各種漏洞，使數(shù)據(jù)面臨風(fēng)險(xiǎn)。

作為額外的預(yù)防措施，請(qǐng)使用軟件定義的邊界 (SDP)。此措施隔離數(shù)據(jù)庫(kù)，以防止其出現(xiàn)為任何特定用戶網(wǎng)絡(luò)的一部分。這樣，入侵者就很難通過橫向移動(dòng)來(lái)定位和訪問數(shù)據(jù)庫(kù)。

11. 運(yùn)行滲透測(cè)試

雇用有道德的黑客對(duì)您的數(shù)據(jù)庫(kù)進(jìn)行滲透測(cè)試。不要讓內(nèi)部團(tuán)隊(duì)提前了解測(cè)試，而是看看員工和數(shù)據(jù)庫(kù)如何經(jīng)受住真實(shí)的攻擊模擬。

偶爾執(zhí)行滲透測(cè)試有助于發(fā)現(xiàn)團(tuán)隊(duì)在無(wú)壓力分析過程中可能忽略的漏洞。此類測(cè)試對(duì)于所有類型數(shù)據(jù)庫(kù)的安全至關(guān)重要。此外，通過定期漏洞評(píng)估來(lái)補(bǔ)充滲透測(cè)試的發(fā)現(xiàn)。

12.創(chuàng)建定期數(shù)據(jù)備份

對(duì)數(shù)據(jù)庫(kù)中的所有文件執(zhí)行定期數(shù)據(jù)備份。遵循 3-2-1 備份規(guī)則：

• 創(chuàng)建數(shù)據(jù)的三個(gè)副本。

• 使用兩種不同類型的存儲(chǔ)。

• 將一份副本存儲(chǔ)在異地位置（例如，在云中）。

如果數(shù)據(jù)庫(kù)中的文件出現(xiàn)任何問題（不需要的編輯、意外刪除、惡意軟件加密數(shù)據(jù)等），您可以從最新的備份中恢復(fù)信息并避免數(shù)據(jù)丟失。通過以下方式確?；謴?fù)過程快速且無(wú)錯(cuò)誤：

• 定期測(cè)試可確保您備份的數(shù)據(jù)不會(huì)損壞。 

• 災(zāi)難恢復(fù)計(jì)劃概述了數(shù)據(jù)發(fā)生問題時(shí)團(tuán)隊(duì)?wèi)?yīng)采取的具體步驟。

注意：作為額外的預(yù)防措施，請(qǐng)使用不可變的備份，這是公司應(yīng)對(duì)勒索軟件威脅的最有效方法之一。

13.使用實(shí)時(shí)數(shù)據(jù)庫(kù)監(jiān)控

所有主要數(shù)據(jù)庫(kù)平臺(tái)都具有內(nèi)置的監(jiān)控和日志記錄功能。使用這些工具來(lái)保存日志：

• 誰(shuí)以及何時(shí)訪問數(shù)據(jù)庫(kù)。

• 數(shù)據(jù)庫(kù)中所有與數(shù)據(jù)相關(guān)的活動(dòng)（編輯、刪除、添加新信息等）。

• 登錄嘗試失敗。

• 連接到數(shù)據(jù)庫(kù)的所有設(shè)備。

• 為數(shù)據(jù)庫(kù)活動(dòng)提供附加上下文的信息（例如，網(wǎng)絡(luò)連接、身份驗(yàn)證、字節(jié)輸入/輸出、內(nèi)存使用情況等）。

請(qǐng)記住，您對(duì)數(shù)據(jù)庫(kù)泄露的反應(yīng)越快，您限制爆炸半徑的時(shí)間就越多。使用以下方法來(lái)加快對(duì)威脅的反應(yīng)：

• 文件完整性監(jiān)控 (FIM)： FIM 記錄在數(shù)據(jù)庫(kù)服務(wù)器上執(zhí)行的所有操作。當(dāng) FIM 檢測(cè)到可疑更改時(shí)，平臺(tái)會(huì)立即向安全團(tuán)隊(duì)發(fā)送警報(bào)。

• 安全信息和事件監(jiān)控 (SIEM)：實(shí)時(shí) SIEM 可幫助安全團(tuán)隊(duì)在發(fā)生數(shù)據(jù)庫(kù)泄露企圖時(shí)立即采取行動(dòng)。

設(shè)置基于行為的監(jiān)控規(guī)則，幫助檢測(cè)異常用戶活動(dòng)，例如進(jìn)行過多編輯或在可疑時(shí)間登錄。

14. 制定嚴(yán)格的控制和政策

制定嚴(yán)格的全公司政策，規(guī)定團(tuán)隊(duì)使用和管理數(shù)據(jù)庫(kù)的方式。定義并記錄以下三個(gè)規(guī)則集：

• 管理安裝、更改和配置管理的管理控件。

• 管理訪問、加密和屏蔽規(guī)則的預(yù)防性控制。

• 檢測(cè)控制控制團(tuán)隊(duì)如何監(jiān)控?cái)?shù)據(jù)庫(kù)活動(dòng)并使用數(shù)據(jù)丟失防護(hù)工具。

將您的數(shù)據(jù)庫(kù)安全策略與其他網(wǎng)絡(luò)安全策略（例如，您的云安全策略）集成。

通過組織定期意識(shí)培訓(xùn)計(jì)劃，確保每個(gè)人都了解您的政策。此類活動(dòng)也是向員工介紹最新網(wǎng)絡(luò)安全最佳實(shí)踐和威脅的機(jī)會(huì)。

15.使用防火墻監(jiān)控?cái)?shù)據(jù)庫(kù)流量

使用防火墻保護(hù)您的數(shù)據(jù)庫(kù)服務(wù)器免受基于流量的威脅。防火墻掃描所有傳入和傳出流量是否存在惡意數(shù)據(jù)包的跡象，并阻止數(shù)據(jù)庫(kù)啟動(dòng)不必要的出站連接。

正確配置防火墻以避免安全漏洞。此外，請(qǐng)確保團(tuán)隊(duì)使防火墻保持最新狀態(tài)并安裝最新補(bǔ)丁，以跟上潛在的黑客攻擊。

大多數(shù)重視安全性的公司都會(huì)部署不止一種類型的防火墻。在大多數(shù)情況下，這四種足以保護(hù)您的數(shù)據(jù)庫(kù)免受所有基于網(wǎng)絡(luò)的威脅：

• 包過濾防火墻。

• 狀態(tài)數(shù)據(jù)包檢查。

• 代理服務(wù)器防火墻。

• Web 應(yīng)用程序防火墻 (WAF)。

注意：了解不同類型的防火墻，并了解哪些最適合數(shù)據(jù)庫(kù)安全需求。

結(jié)論

實(shí)施上述數(shù)據(jù)庫(kù)安全最佳實(shí)踐對(duì)于保護(hù)業(yè)務(wù)數(shù)據(jù)至關(guān)重要。如果沒有這些預(yù)防措施，公司就會(huì)對(duì)日常運(yùn)營(yíng)和利潤(rùn)承擔(dān)太多不必要的風(fēng)險(xiǎn)。