iT邦幫忙

0

DBA內稽內控該如何證明清白..?

dba
  • 分享至 

  • xImage

最近內稽問我..公司這麼多資料庫(MSSQL,Informix,Oracle)你身為資料庫管理人員,你要如何證明你不會資料外洩....@@
請問各位前輩們,我該如何證明呢...?

看更多先前的討論...收起先前的討論...
總裁 iT邦好手 1 級 ‧ 2011-02-21 14:11:44 檢舉
我發誓我是清白的....毆飛
Ray iT邦大神 1 級 ‧ 2011-02-21 14:18:33 檢舉
cdfu提到:
我發誓我是清白的....

這個屌.....讚
鐵殼心 iT邦高手 1 級 ‧ 2011-02-21 15:16:21 檢舉
cdfu提到:
我發誓我是清白的..

raytracy提到:
這個屌...


神會寬恕你的
總裁 iT邦好手 1 級 ‧ 2011-02-21 16:20:37 檢舉
神會寬恕你的


你要如何證明你沒有騙我呢??....疑惑
鐵殼心 iT邦高手 1 級 ‧ 2011-02-21 17:08:57 檢舉
cdfu提到:
你要如何證明你沒有騙我呢??...

我沒有辦法代替神回答這個問題, 所以這個問題請去問神...毆飛
總裁 iT邦好手 1 級 ‧ 2011-02-21 17:14:56 檢舉
我想版主應該知道怎樣證明自己清白了....謝謝
賽門 iT邦超人 1 級 ‧ 2011-02-21 18:43:54 檢舉
cdfu提到:
怎樣證明自己清白

冤枉啊~~大人! 小的真的是清白的....

是這樣嗎? 毆飛毆飛
dondonyen iT邦新手 4 級 ‧ 2011-02-22 14:47:55 檢舉
目前的做法跟內稽說明,我們的資訊安全及權限控管符合ISO27001等....
另DBA需有另一個人備援,及獨立出一台專用PC,進行資料庫管理,所有的動作都有軟體會錄下來。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
8
silly
iT邦好手 2 級 ‧ 2011-02-21 11:33:54
最佳解答

作業系統與資料庫的使用者權限劃分清楚;
開啟資料庫內建的稽核(Audit)功能,若使用內建的Audit功能影響效能嚴重,可以考慮使用其他工具輔助(如:Guardium、Chalet ADS、iMPERVA等等)

12
pojen
iT邦研究生 5 級 ‧ 2011-02-21 11:56:42

好問題... 不過如果是我, 我會回答資料庫的安全取決於使用者對於安全的認知, 與公司對於安全規定的執型力. 對我來說資料庫是給人用的, 不能用的資料庫沒有存在價值.

預防行動

  • 權限管理: 說的比做的容易, 當程式是買回來的, 那就上天保佑了. (不過還是可以事後補破網, 賭的是賣的人給不給支援)
  • 使用者教育: 常見的是 Business Analyst 有著超過需要的權限, 或是有較高權限的使用者方便行事, 將帳號借給沒有相關權限的人員
  • Patch: 有 guts 直接裝 path 上 production 的同學請舉手.. 至少我是沒膽的. 三年一小修, 五年一大修我倒是會盡力的四處推廣.

事後補救

  • 可以使用 system/DB 層級的 trigger 來紀錄登入紀錄, 當然也有很多可以燒錢的產品
  • Log 真的是 Admin 的好朋友, 請不要忘記它了存在

我認為半調子的處理方法

  • DB encryption: 我看過在 SQL Server 裡使用 user key, 但 user key 明白的寫在 sp 裡面. 更強大的是有專用的 table 來 log 解碼過的 key.
  • VPDB: Oracle 的加強板, 不僅可以藏 column, 還能拿來臧 rows. 如果不幸有管理員權限 (sysdba) 拿還是無用

簡潔來說, 如果出問題而我自己解不開, 那只能算半調子. (所以說了這麼多, 我才是最大漏洞嗎?)

--

經驗上... 請把密碼設為永不過期的同學舉手, 資料庫能有多安全大概看舉手的比例就知道了..

--

回到主題.. 稽核師要的應該不是資料庫管理員用了多高深技術, 而是有無一套機制來預防與檢測可能的漏洞. 更重要的是這一機制是否有被執行. ($->$$->$$$)

  • 使用者教育
  • 管理員有限度的便宜行事 (方便不是隨便)
  • 簽收應用程式時將安全性列為簽收項目之一
  • 能有資源測試與昇級 patch level

我知道有人想丟鴨蛋了, 我在這接著..

10
Ray
iT邦大神 1 級 ‧ 2011-02-21 14:08:27

我以前的公司是投保 *員工誠實險*, 萬一出問題要賠, 有保險公司可以賠.
另外再導入: BS-7799/ISO-17799/ISO-27001 認證, 取得客戶信任.

看更多先前的回應...收起先前的回應...
尼克 iT邦大師 1 級 ‧ 2011-02-21 16:10:41 檢舉

BS-7799/ISO-17799/ISO-27001 認證, 取得客戶信任.

粗體字我笑了灑花

總裁 iT邦好手 1 級 ‧ 2011-02-21 16:19:06 檢舉

可是版主的問題是內稽就已經卡著了, 還沒到客戶那呀....

賽門 iT邦超人 1 級 ‧ 2011-02-21 17:59:05 檢舉

raytracy提到:
投保 *員工誠實險*

這是說, 老闆相信員工是誠實的, 但投保誠實險以防有天有意外生以致員工不誠實?

那...我很好奇這個意外是什麼? 是男人都會犯的錯誤的意外? 還是女人都會犯的錯誤的意外?

誠實是一種道德表現, 當道德也要用錢來衡量與保障時, 我真的很難相信這家公司的員工會誠實到那裏去....我實話實說的的感覺, 不知道能不能保險....以防因實話實說而被毆飛

Ray iT邦大神 1 級 ‧ 2011-02-22 01:42:01 檢舉

老闆相信員工是誠實的, 但投保誠實險以防有天有意外生以致員工不誠實?

別被字面上的意義給誤導了, 員工誠實險的作用, 其實就跟新人報到時所填的「保證人」差不多:
員工誠實險 企業「財有保」

Ray iT邦大神 1 級 ‧ 2011-02-22 02:04:56 檢舉

cdfu提到:
可是版主的問題是內稽就已經卡著了, 還沒到客戶那呀....

很好, 我就在等這句話出現.....

既然這是「內稽」作業, 樓主的問題就完全不存在, 因為:
應該是稽核室(員)要來證明 DBA 有問題才對, 怎麼會是由 DBA 自己來證明自己的清白?

稽核室(員)會去問超市收銀員:「請問你要如何證明你的清白」嗎?
稽核室(員)會去問送貨駕駛員:「請問你要如何證明你的清白」嗎?
稽核室(員)會去問保險收費員:「請問你要如何證明你的清白」嗎?

99% 的企業, 若要解決以上三個問題, 使用的方法就是:
新人到職時, 要求提供 1~2 名保人, 甚至要一位是公務員, 或是提供不動產抵押保證.

剩下 1% 的企業, 不必要求新人提供保人, 改用我上面提出的方法: 投保員工誠實險.

鐵殼心 iT邦高手 1 級 ‧ 2011-02-22 08:16:42 檢舉

simon581923提到:
去....我實話實說的的感覺, 不知道能不能保險...

秋天快到了...

pojen iT邦研究生 5 級 ‧ 2011-02-22 09:26:15 檢舉

我覺得可以問呀.

某情景 A: 有人被 O 了.

法官問嫌疑人: 請問你要如何證明你的清白?

回答可以是:

  1. 大人我是冤枉的
  2. 那天我自己在看電視, 還可以說劇情
  3. 那天我到法官家裡泡茶
  4. 那天我與所有在座的客位去做了謎一般的事

翻譯後

  1. 我們的資料庫很安全
  2. 我很有道德觀, 相信我就對了. 我還有各式各樣買回來的大捕丸, 保證藥到命除.
  3. 我們照著市場最佳範例做 (BS-XXX, ISO-XXX) 或高級點的用稽核師自己的版本, 如 COSO, COCO 等
  4. 都說是謎一般的事件了, 你知道, 謎一般的事件都是很難解釋的. 我們到旁邊聊聊.
4
sungshun
iT邦新手 3 級 ‧ 2011-02-22 14:16:03
  1. 你們的稽核不專業,這樣的問法好像在問嫌疑犯:你要怎麼證明你沒犯罪?沒有證據證明我犯罪,那我就是無罪.
  2. 架一台記錄資料庫存取行為的log server(可以外購資料庫稽核軟體或搜集資料庫本身的log),這台server由其他的資訊人員控管,DBA無權限接觸,如果稽核人員問那怎知你們兩個不會串通把log server的log刪改?那這個稽核人員就不用理他了,因為內稽內控並無法防止人為串通的舞弊
    3.具有DBA的管理權限的帳號與密碼,由兩人分持或各持一半,以達互相監督的效果
dondonyen iT邦新手 4 級 ‧ 2011-02-22 14:54:13 檢舉

sungshun大大,近期興起的新版個人資料保護法,企業需自行佐證善盡資料保護的責任喔!!

fingers iT邦新手 4 級 ‧ 2011-02-22 16:12:52 檢舉

我倒覺得,這件事情可能只是想反映出公司對於資訊安全的部分,是否還有補強的空間?

以前在上課時,老師對我們說的一句話,對於資訊安全的課題,是沒有絕對安全的方法。
只是對於現實狀況,你需要的是甚麼等級的保護措施。
如果,一個100人的中小企業,是否有能力負擔跟美國國防部相同等級的安全措施?
對於資料庫也是一樣。

我要發表回答

立即登入回答