دستورالعمل نگهداری از پایگاه داده های سازمان

819

با توجه به لزوم نگهداری داده ها در فضای امن و جلوگیری از سوء استفاده از داده ها ی سازمانی و جلوگیری از دسترسی های غیر متعارف و غیر مجاز به داده ها، مدیران سیستم(پایگاه داده) ملزم می باشند سطح دانش خود از پایگاه داده و سامانه های مدیریت داده ها را ارتقا بخشند و نسبت به رعایت موارد ذیل که از پایه ای ترین مواردی هستند که می بایست در نگهداری پایگاه داده ها رعایت گردند، اقدام نمایند.

  • نام کاربری و کلمه عبور پیش فرض بلافاصله بعد از نصب پایگاه داده تغییر یابند.
  • اکانت های بلا استفاده قفل شوند و یا در صورتی که هرگز استفاده نمی شوند کلا حذف گردند.
  • ایجاد کلمات عبور قوی و تغییر آنها در فواصل معین
  • بررسی نقش ها و گروه ها انجام گیرد. کاربران پایگاه داده حداقل مجوز های لازم برای انجام فعالیت خود را داشته باشند، اما به هیچ عنوان دسترسی های عمومی به کل پایگاه داده برای آنها فراهم نباشد.
  • تمام وظایف مرتبط با پایگاه داده در اختیار یک کاربری نباشد و برای هر zone از داده ها و فعالیت ها کاربری بخصوص همان حوزه تعریف گردد. و به این ترتیب از دسترسی ناخواسته افراد به داده های سایر zone  ها جلوگیری شود.
  • ماژول ها و سرویس های بلااستفاده در سرور غیرفعال گردند. این مورد هم به بهبود عملکرد dbms  کمک میکند و هم از ورود نفوذگران  از راه های غیر معمول جلوگیری خواهد شد.
  • در پایگاه داده هایی که ورود با نام دامنه مهیا است، دقت شود مدیر دامنه مدیر پایگاه داده نباشد.
  • Session های بین برنامه کاربردی و پایگاه داده به خصوص در وب اپلیکیشین ها  رمزگذاری شده باشند.
  • شماره پورتهای مورد استفاده پایگاه داده را به مقادیر غیر پیشفرض تغییر دهید.
  • مجوزهای دسترسی را می توان با توجه به نقش ها به حداقل رسانده، زیرا این امر تقسیم وظایف را فراهم می کند و تجزیه و تحلیل ها را آسان تر می کند.
  • سیستم لاگ گیری را فعال و اجرا کنید.
  • پالیسی های مرتبط با لاگ گیری را تعیین کنید و رویدادهای غیر ضروری را فیلتر نمایید تا حجم لاگهای تولیدی در مدیریت و کنترلتان باشد.
  • کاربر مدیر سیستم (پایگاه داده) با ابزارهای تحقیق و حسابرسی لاگها آشنایی داشته باشد و بتواند با بررسی لاگهای پایگاه داده در دوره های مشخص (بر اساس اولویت، حساسیت و ترافیک داده ها به تشخیص کاربری مدیر سیستم(پایگاه داده))،تحرکات مشکوک بر روی پایگاه داده را شناسایی نماید.
  • کاربر مدیر سیستم (پایگاه داده) ضمن آشنایی با ابزارهای لاگینگ بر روی پایگاه داده، توانایی بررسی سابقه رویداد های انجام شده بر روی داده ها توسط کاربران تعریف شده را داشته باشد.
  • حتما برای مواقعی که اطلاعات دچار تغییرات ناخواسته می شوند و یا از دست می روند پلنهای بازیابی تعیین شده باشد تا در حداقل زمان اطلاعات به وضعیت قبلی برگردند.(پشتیبان گیری)
  • پشتیبان گیری ها بر اساس ترافیک دیتا و حساسیتداده ها برای هر نرم افزار بین چند ساعت تا چند هفته تعیین گردد.(مسئولیت در دسترس نبودن اطلاعات در بازه مورد درخواست با مدیر سیستم (پایگاه داده ) می باشد)
  • مکان نگهداری داده ها بر اساس تشخیص مدیر سیستم (پایگاه داده ) در چند نقطه(رسانه ذخیره سازی) تعیین گردد.
  • صحت عملکرد پشتیبانگیری بررسی شود.
  • فایل های پشتیبان در سرورهای جداگانه ای مورد بازیابی قرار گیرند و صحت بازیابی مورد تاییدشان باشد تا در مواقع حساس بلافاصله به شرایط قبلی برگردند.
  • سرورهای dbms از سرور های نرم افزار کاربردیشان جدا باشند و اطلاعات بین این سرور ها بر روی     tls  تبادل گردد.
  • اطلاعات حساس بر روی پایگاه داده دارای رمزگذاری باشد و فقط برنامه کاربردی کلید رمزنگاری اطلاعات را در دسترس داشته باشد.(بازبینی برای نرم افزارهای مقیمدر سازمان انجام گیرد و در صورت عدم تحقق این امر مکاتبات با پیمانکار جهت اصلاح انجام شود)
  • فایل های پیکربندی نرم افزار کاربردی دارای سطوح دسترسی مشخص بر روی سیستم عاملباشند تا هر کاربری دسترسی به اطلاعات پیکربندی نرم افزار (که در واقع اطلاعات دسترسی به پایگاه داده نیز در آن قرار دارد)، نداشته باشد.
  • سرور هسته اپلیکیشن فقط و فقط دارای یک کاربری ادمین باشد که در اختیار مدیر سیستم قرار دارد.
  • dbms   فقط و فقط دارای یک کاربری ادمین باشد که در اختیار مدیر سیستم(پایگاه داده) قرار دارد و مسئولیت استفاده از داده های سازمان جز فرآیند تعیین شده در نرم افزار با کاربری مدیر پایگاه داده می باشد.
  • هیچگونه تغییراتی به هیچ عنوان در لایه پایگاه داده قابل قبول نبوده و در صورت ایراد در فرآیند های مدیریت داده های نرم افزارها با پیمانکارآنها جهت حل مشکلات مکاتبه گردد و سریعا موارد اصلاح گردد.
  • نرم افزارهایی که با پایگاه داده ارتباط دارند ملزم به اخذ گواهینامه امنیتی  مورد تایید  هستند تا از حملات sql injection  و buffer overflows که راهکارهای سوء استفاده از پایگاه داده هستند، در امان باشند. (در صورت عدم اخذ و ارائه گواهینامه امنیتی نرم افزار توسط پیمانکار سامانه، مدیر سیستم(پایگاه داده) ملزم به پیگیری مراتب تا ارائه گواهینامه امنیتی از سوی پیمانکار می باشد و در صورت عدم حصول نتیجه، محصول دارای شرایط ذکر شده را جایگزین نمایند.)
  • نصب نسخه فایروال تخصصی پایگاه داده(منطبق با DBMS مورد استفاده) جهت جلوگیری از حملات از باگهای لایه کاربردی و ...

نسخه 1




از مجموع 2 رأی

فاقد نظر