iT邦幫忙

0

人資系統的「資訊安全規劃」問題

匿名 2014-12-24 16:30:094410 瀏覽

人資系統包含許多機密資料,其使用者大約有2類:
1.人事部門:負責資料建立及異動更新
2.一般人員:查詢

請問除以一般帳號及密碼作為「資訊安全規劃」外,還有什麼樣的設計可增加其安全性以避免資料被不當使用(包含人事部門人員)

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
外獅佬
iT邦大師 1 級 ‧ 2014-12-25 13:47:54
最佳解答

資料庫加密

匿名 檢舉

微軟SQL server
1.資料庫加密工具可推薦嗎?
2.在資料庫加密或欄位加密狀況下,偶而要透過SQL指令撈資料至EXCEL再處理時似乎就不可行了(不方便).
感恩!

外獅佬 iT邦大師 1 級 ‧ 2014-12-26 14:29:02 檢舉

SQL Server的加密方式,有針對資料庫層面的
也就是TDE(Transparent Data Encryption)
確保資料庫檔案或者資料庫的備份檔被偷時
無法在其他機器上被復原,確保資料安全

偶而要透過SQL指令撈資料至EXCEL再處理時

這已經不需要談論資料安全的問題了...
要講求資料安全,就不應該允許這種存取層面的存在。
否則,誰知道匯出去的Excel會流到哪裡去?

匿名 檢舉

wiselouTDE提到:
要講求資料安全,就不應該允許這種存取層面的存在。

很同意 只是實務上常常就是缺某個功能某種報表...
系統是靜態 需求是動態 無奈啊

2
Alan.Liu
iT邦研究生 1 級 ‧ 2014-12-24 16:45:57

設定login log
出事就能查到囉
讚讚讚

匿名 檢舉

用系統login log(Windows , SQL ) 或在AP中另外設計?
方便經驗交流嗎
感謝!!

6
darkslayer
iT邦好手 1 級 ‧ 2014-12-24 16:58:33

你應該是針對個資法在問的吧!

使用紀錄是不可少的,
再來職權設定權限也是該有的,
一般人員在查詢時有些資料是不可顯示或只能顯示部分的(Ex.身分證字號, 信用卡號).
除了系統的管控外, 更重要的是印出來的書面資料管理.

匿名 檢舉

你應該是針對個資法在問的吧!

不完全是
謝謝!!

4
newkevin
iT邦高手 1 級 ‧ 2014-12-25 07:54:47

理想狀況 但是因為各種原因 辦不到吧 哈哈
1給資料提供者 簽任意使用(沒個資問題 但....)
2給資料提供者 設定要提供給那些人使用 (減少洩漏管道 但...)
3給資料提供者 查詢哪些 使用過他的資料 (小嚇阻 比較不會亂查 但 ..)
4建造假資料 加密 密碼變動 (沒受權查到的資料 不一定是正確的 但...)
5加強各種儲存軟硬體 信件 列印 監控 門禁 含照相機 手機 _...(減少洩漏管道跟難度 但...)
6人員的查核 教育 加薪 關心 (掌控人心 但...)

0
尼克
iT邦大師 1 級 ‧ 2014-12-25 16:15:37

資料庫加密欄位,而且於資料庫中看到也不是明碼。
唯有有權限的人才能利用AP看到敏感欄位資訊。

匿名 檢舉

請問:欄位加密用什麼方法較佳?

假設該欄位值就只4種(如考績:甲乙丙丁),經加密後其值如
甲:*&^%$
乙:&^$%%
丙:*&&^%
丁:!@#$$
那麼還是可從這4個亂碼值反向推測出甲乙丙丁.
系統管理者透過SQL指令, 不透過AP,撈出該Table中加密欄位就可反向推測出甲乙丙丁不是嗎?
不曉得先進們是如何處理?
謝謝先!!

James iT邦大師 6 級 ‧ 2014-12-26 14:04:21 檢舉

可以搭配其它欄位一起加密運算例如考績+姓名

我要發表回答

立即登入回答