atitit.信息安全的控制总结o7

1. 信息安全覆盖很多的内容: 1

2. #内部人员导致的安全风险 1

3. #对敏感的数据进行透明的加密 2

4. #安全防护 2

5. #通过数据安全域保护关键业务数据 2

6. #实施安全规则与多元素授权 3

7. #数据库安全审计的考虑 3

8. #建立集中的数据库审计平台 3

9. 别的法 3

1. 信息安全覆盖很多的内容:

身份认证及单点登录

网络传输加密

防病毒

数据的加密/解密存储

数据记录级的访问控制

内部控制

命令的安全规则引擎

集中安全审计

安全规范与自动安全评估(ftp、密码、端口、补丁…)

……

已经实施了安全防护工程,建立了完整的CA体系,配置了屏蔽机房、防火墙、入侵检测、防病毒、网闸等安全防护机制

制定了一套安全管理规范,如操作系统、数据库的用户名密码管理,以及对ftp、telnet、特定操作的IP地址等进行了限制

提供网络传输加密、安全审计等的功能,在操作系统和网络层面进行严格的安全审计

某些应用系统的维护,通过开发商共同运维,而仅靠管理制度无法完全杜绝安全隐患

作者:: 老哇的爪子 Attilax 艾龙,  EMAIL:[email protected]

转载请注明来源: http://blog.csdn.net/attilax

2. #内部人员导致的安全风险

内部的维护人员把整个数据库中的数据备份带走

高权限用户(如root、DBA)的错误操作,删除或损坏了关键的业务数据

系统维护人员或高权限的超级用户,私自在后台查看、窃取、甚至恶意破坏业务数据

内部人员违规修改业务数据、或业务人员越权访问数据及应用

饶过应用程序去直接访问数据库中的数据

高权限用户(如root、DBA)删除、修改审计数据

3. #对敏感的数据进行透明的加密

对敏感数据列、文件、图形图象等实现加密存储

帮助符合私密性及法规控制

SB 1386, CISP/PCI, SOX

防止数据文件被非法拷贝和备份而导致泄密

数据写到磁盘时自动加密存储,从磁盘读取时自动解密,对应用完全透明,降低应用开发、维护成本

4. #安全防护

网络安全防护,主要对外部的入侵进行防护,审计主要是安全事故的事后管理而无法积极地防控

前面提到,80%的数据丢失是内部造成的

需要限制DBA查看、修改、窃取应用数据的权利,例如,业务维护人员只能维护自己相关的后台数据,而无法备份、清空、导出数据等

内部控制、安全域,实现职责分离和防止越权访问数据

多因素授权、基于安全规则的授权,定制和强制实施个性化的安全规则

提供详细的安全违规报告,用于法规审计

对应用透明、无需更改现有的应用程序

5. #通过数据安全域保护关键业务数据

数据库的安全领域可以把应用或一组数据库对象封闭到保护区内

数据库DBA查看申报数据

加强内部控制,尤其是超级管理员用户,例如:为生产数据建立安全域后,DBA将无法查看、篡改和破坏登记、申报征收数据

生产管理超级用户查看财务业务数据

岗责分离,实施数据安全域后,业务人员将无法跨业务越权访问数据

6. #实施安全规则与多元素授权

安全规则的作用是根据特定的环境或决策要素(如:机器的IP地址、操作时间和验证模式等)进一步对数据库操作加以限制

基于IP地址的规则将阻止未经授权的远程操作

操作员不在正常上班时间执行未经授权的操作

基于日期和时间的规则将阻止未经授权的操作

7. #数据库安全审计的考虑

数据库的审计和安全管控同样重要

针对重点数据进行审计,从而减少对性能的影响,例如,只针对营业额超过1000万的纳税人的信息操作进行审计

数据中心,可能存在多套数据库系统

需要快速、自动地采集审计数据

防止出现审计信息孤岛(漏审)

需要快速整合审计数据、生成审计报告

提供预警

保护审计数据本身的安全性、防止审计数据本身被黑客、DBA或高权限人员破坏、删除

8. #建立集中的数据库审计平台

9. 别的法

web的安全除了常规的sql注射,xss,CSRF避免,还是有许多的特别的的防范

1.网站后台管理程序不要和前台程序放在同一个服务器上...后台管理程序最好不使用web,而是CS方式...

2.数据库跟网站web服务器不要放在同一个服务器上,避免主机管理员接触到数据库..而且避免数据库管理员接触到网站程序..

3.订单程序使用编译型语言java写,避免使用php等明文语言..非常重要的的核心程序可以使用c++...

2.数据库服务器和网站服务器的通信要使用ssl加密,,这个普通的数据库都可以设置的..

3.订单数据要加密保存....这样可以避免数据库管理员看见数据..

4.一般订单数据加密后是很安全的...但是当前许多的订货库是非加密的,全变化为加密数据更改程序大的..可以仅仅加密金额等字段..

5.金额等重要字段还可以添加md5签名来保证安全,这样数据库管理员更改字段也可以发现,订单程序就会自动检测到非法修改并且锁定..

6.对于能同时接触到程序和数据库的成员的防范,需要增加另一个数据库做为回溯安全数据库..订单正常使用的时候儿,解密,再做签名比较,最后,和回溯安全数据库比较,来保证安全...

atitit.信息安全的控制总结o7

时间: 2024-11-05 19:00:54

atitit.信息安全的控制总结o7的相关文章

ISO27001信息安全体系内容

一.IS027001:2013版和2005版区别 ISO27001:2005版 ISO27001:2013版 备注 A5安全方针 A5安全方针 A6信息安全组织 A6信息安全组织 A8人力资源安全 A7人力资源安全 A7资产管理 A8资产管理 A11访问控制 A9访问控制 A10密码学 新增 A9物理和环境安全 A11物理和环境安全 A10通信与操作管理 A12操作安全 由旧版拆分 A13通信安全 由旧版拆分 A12信息系统获取.开发和维护 A14系统获取.开发和维护 A15供应关系 新增 A1

桌面虚拟化“寻人行动”-转裁

在服务器虚拟化技术发展得如火如荼之际,桌面虚拟化也开始呈现呼应之势.业界的共识是,桌面是需要接受虚拟化治疗的下一个IT问题领域.主流厂商为此动作频频,思杰于5月底正式发布桌面虚拟化产品XenDesktop,微软也于近期进行了虚拟化技术升级,VMware解决方案也已成型……入局者正以步入实用阶段的产品来催熟新应用. 究竟什么是桌面虚拟化技术?我们不妨先简单对桌面虚拟化进行一下分类.一类是本地桌面虚拟化,即单机虚拟化.这类桌面虚拟化技术与服务器虚拟化技术比较类似,但它突出的不是聚合物理机.提高利用率

bootstrap 栅格系统 HTTP协议 软件架构 B/S C/S 常见的WEB服务器

Day32 bootstrap Bootstrap就是响应式布局最成功的实现,为了兼容不同的浏览器采用jQuery,为了适配不同的终端采用CSS3 Media Query (媒体查询) 1.1.1 栅格系统 l 帮助手册:全部CSS样式/栅格系统,http://v3.bootcss.com/css/#grid-options l Bootstrap 提供了一套响应式.移动设备优先的流式栅格系统,随着屏幕或视口(viewport)尺寸的增加,系统会自动分为最多12列. l 栅格特点 n "行(ro

atitit.hbnt orm db 新新增更新最佳实践o7

atitit.hbnt orm db 新新增更新最佳实践o7 1. merge跟个save了. 1 2. POJO对象处于游离态.持久态.托管态.使用merge()的情况. 1 3. @DynamicInsert @DynamicUpdate 2 4. 实际调用merge()生成的sql 2 5. 参考 2 1. merge跟个save了. Update UpdateorSave 已经不推荐了... 生成的黑头子有个merge跟个save了... 作者:: 老哇的爪子 Attilax 艾龙,  

Atitit.软件控件and仪表盘(23)--多媒体子系统--视频输出切换控制cvbs av s-video Ypbpr pal ntsc

Atitit.软件控件and仪表盘(23)--多媒体子系统--视频输出切换控制cvbs av s-video Ypbpr pal  ntsc 1. CVBS是AV接口 1 2. S-Video S端子 1 3. Ypbpr/YPbPr和YCbCr色差 1 4.  2 5. 参考 2 七大常用视频接口效果对比   HDMI>DVI>VGA>色差>S端子 >av>tv 1. CVBS是AV接口 的视频信号(单根黄色线) CVBS 接口是音频.视频分离的视频接口,三个RCA插

atitit.获取北京时间CST 功能api总结 O7

atitit.获取北京时间CST 功能api总结 O7 1. 获取cst时间(北京时间)两布:1.抓取url timtstamp >>format 到cst 1 2. 设置本机时间  setSystime(date);:调用的命令行,只能支持windows和linux系统 2 3. 留意:  1582年10月5日-1582年10月14日.是不存在的.. 2 4. 克拉维斯委员会面临两个不同的问题, 太阳年不一致and闰年 3 5. 不同的国家不同样的的历法 3 6. 1582年10月15日之前

atitit.设计模式(1)--—职责链模式(chain of responsibility)最佳实践O7 日期转换

atitit.设计模式(1)---职责链模式(chain of responsibility)最佳实践O7 日期转换 1. 需求:::日期转换 1 2. 可以选择的模式: 表格模式,责任链模式 1 3. 调用代码 2 4. 责任链链的特性: 2 5. 模式结构 4 6. 职责链模式包含如下角色:Handler,ConcreteHandler: 具体处理者,HandlerChainUtil ,Client 4 7. 设置哈一个handler,,两个法:排序法,指定法 5 1. 指定法 5 2. 排

atitit.文件上传带进度条的实现原理and组件选型and最佳实践总结O7

1. 实现原理 1 2. 大的文件上传原理::使用applet 1 3. 新的bp 2 1. 性能提升---分割小文件上传,避免一次使用内存使用过大的 2 2. Uuid还是原来文件名称:: 2 3. 监听器频繁地被调用 2 4. 结合wz easyui 2 4. 选型 2 5. Uploadify::yash js+flash 3 6. commons-fileupload:: 3 7. COS这个工具O'Reilly公司 3 8. 大的文件上传组件总结 3 5. 林吧实现ui Ajax+jq

atitit.基于http json api 接口设计 最佳实践 总结o7

atitit.基于http  json  api 接口设计 最佳实践 总结o7 1. 需求:::serverand android 端接口通讯 2 2. 接口开发的要点 2 2.1. 普通參数 meth,param, 2 2.2. 全部的參数定义 2 2.3. key,dynami key)韩式 static key? 2 2.4. 防篡改 sign 2 2.5. Encry加密 3 2.6. zip压缩:: 3 2.7. 首先压缩韩式加密??? 3 3. 选型大全:rim ,ws, http