我想要说的是,数据库安全控制,例如分离和加密都不轻松或者便宜。尽管有一件事情是必然的——假如你把敏感数据和私人数据放在了你的数据库里面,那么它基本上是安全的,人们会开始问,你做了什么来保护它。你不会让它离开你的视线的。
看看实现这些额外的数据库安全控制需要涉及多少方面。把你的方式解释给他们听,你如何分隔每个数据库,加密敏感信息等。胡,给他们一个你不能做的理由。按照你已经部署的其它控制,减少数据库分离和加密的需求,例如,输入过滤,强有力的认真,甚至是所有磁盘的加密,以防你的整个数据库服务器或者硬盘被偷去。还有,不要忽视利用好工具和人工评估进行的渗透测试。还有正式的利用一些工具的数据库安全审计,例如AppDetective 和NGSSQuirreL,甚至是源代码分析工具,例如Compuware, Ounce Labs, Fortify Software, SPI Dynamics, 和 Klocwork公司提供的针对你的应用程序的分析工具。
评论加载中…
 |