【TechTarget中国原创】据Oracle安全专家Arup Nanda表示,许多公司都认为现在安全因素对他们的影响很大,许多公司都把安全地址输入到了应用程序层而不是数据库层。Nanda,今年32岁、是Norwalk康州的DBA,精通 Proligence。他还是Oracle公司的咨询顾问、新书Oracle隐私和安审计的合著人之一。这本书主要介绍了卫生保健行业的安全和审计规则,这些规则是HIPAA的一部分。在采访SerchOracle.com网站时,Nanda介绍了公司该采取什么步骤让自己的行为符合HIPPA、Sarbanes-Oxley和其他规则的要求,这些规则能够让他们在新软件的投入上节约万美元。
问:公司应该采取什么样的安全预防措施保护他们的Oracle数据库呢?
答:确保Oracle安全不是很难的一件事,但是一些公司却不按基本步骤办事。实际上它只需要花费一点点精力、只需要作稍微的思考。第一步就是保证Listener服务是最新的,并在上面设置密码。公司总是没有意识到要使用Oracle的SQL*NAT函数,这样你就能不花任何额外的费用给数据库创建议一个简单的防火墙。最后,Oracle row级别的安全性能在每个row层上提供访问调节装置。Row级别安全限制了有权限访问表的单一用户访问表中某些特殊的单元,而不是让这些用户访问整个表。
问:在安全方面你最关心什么内容?
答:我最关心的就是:数据库安全不是在数据库层上解决的,而是在应用程序层上解决的,这样就出现了一些安全漏洞。公司目前主要关注Sarbanes-Oxley、HIPPA法案(健康保险携带和责任法案)条例和信用卡规定。几乎所有的公司都在按照Sarbanes-Oxley创建一个查帐索引,正致力于保证财政信息符合HIPPA法案。制药和保险公司正致力于确保客户数据被加密、免遭攻击。餐饮业一直都在关注信用卡的使用规定、确保客户的数据安全。为了成为银联、万事达信用卡以及美国运通公司的合作伙伴,公司必须证明他们的操作过程并显示登陆到用户信息的入口是受限的。
问:为什么安全是符合HIPPA法案最主要的部分?
答:HIPPA法案影响整个保险和制药公司,要求这些公司确保客户能访问一些信息(如客户的病历和社会保险),这些信息是受到严格控制的。这些公司需在2003年10月之前证明它的符合性。但许多公司都拖到了今年年底。
许多公司都将自己的安全步骤归档。这样一来,他们就能够识别潜在的安全漏洞。我经常查看是否有一项限制客户访问员工相关信息的政策。例如,一名客服人员就不该查看他们服务的客户之外的其他的客户的相关资料。
问:公司能采取什么步骤来保护他们机密的财政数据?
答:公司想要采取一些确保应用程序服务器和Web服务器用户不会访问到他们的安全措施很简单,他们必须保证网络自身是安全的。采取安全措施避免外来人员登陆他们的网络或通过网络查看到信息包是很有必要的。数据可以通过加密保护信息。这样做是很重要的而且相对来说也比较简单。