需要考虑的数据库相关安全政策

在所有能够真正影响到每一个行业的政府和行业规则中，总有一天会有一条要求你真正应用一些信息安全政策。也许你已经有了一些关于密码和数据备份的基本政策。但是还有更多。因此，如果您的企业现在刚刚将安全策略整合在一起，或者您已经意识到是时候更新一些东西了，那么这里有一些您需要知道的与数据库安全相关的问题。

从技术上讲，为了准确地确定需要哪种安全策略，您需要执行信息风险评估。但是，我明白现实往往会引出其他内容。也就是说，我可以考虑的很少，如果有的话，但是很少有环境不再要求我考虑以下与数据库相关的安全策略:

可接受的利用率——在数据库服务器上可以/不可以做什么，比如网页浏览和安装/卸载中间件、个人防火墙保护，以及在非服务器系统上安装MSDE、SQL Server Express 2005和其他数据库软件。

认证控制——针对数据库以及相关的应用程序和操作系统，包括密码要求、多个组件的使用等。

业务合作-与外部承包商、审计师、存款提供商等打交道。，包括合同中规定和应用的服务级别的协商。

业务连续性–灾难恢复和/或业务连续性规划要求可以帮助您的数据库保持运行和可访问性。

变更管理——记录何人、为何、何时、如何以及所有相关的拆除过程。

数据备份——使用的内容、时间和方法。

数据保留和销毁——使用的内容、原因、方法和时间表。

加密——不仅涵盖静态数据，如加密特定线路，还涵盖传输数据，如数据库服务器和网络应用程序之间的TLS。数据备份也是叠加的一部分。

信息分类-将信息标记为公开、内部、机密等。

物理安全-建筑、数据中心和服务器的安全。

删除财产-服务器、驱动器、磁带和其他财产。

安全测试和审计——测试的内容、方式、时间和人员，以及使用的工具。

职责分离——用户、数据库管理员、安全审计员和其他与数据库管理相关的人员的角色/职责。

系统维护-打补丁、系统清理/清除和中间件更新。

系统监控和应急响应-谁、为什么、何时以及如何进行实时监控和记录审计日志，以及维护正式应急响应计划所需的特殊需求。