在SQL Server中为安全依从性记录日志
在今天所有影响着业务的政府法令和行业规则中,似乎没有哪一个可以不受私有权限和安全依从性的影响。不管是管理的主体,依从性的大部分最初原因都是要监控与敏感信息相关的活动,还要进行良好的记录。问题就是,法律和规则中有如此之多的不明确的。当说到审计日志的时候,没有人——我的意思是没有一个人——可以真正地提供一个关于日志需求的确定的答案。日志供应商会告诉你一件事,审计员会告诉你一些另外的事情,还有律师,他们也不可避免地有自己的想法和解释。这并不是是说每个人对或者错。就是说,当说到登陆到你的SQL Server数据库环境的时候,你需要定位那些存在风险的事情,还有那些合理的。判断什么才会最终支持你的法律和规则的需求——不是那些其它人认为你应该做的事情。
对于你的业务来说什么是正确的?
“合理”这个词非常棘手,因为每个人对于什么应该被记录日志,以及以何种方式进行管理都有自己的定义。最终,合理的记录很可能会终结在法庭的定义中。虽然如此,你在这个时候能够做什么才能确保你是在安全的,并且不会被踢出局呢。第一件事情就是判断什么服务器和哪个数据库真的包含了那些需要被保护的敏感信息。这是你自己需要做的,或者是在最近的信息风险评估中已经作过的。记住,在开发或者测试中你需要有一些服务器存放敏感信息,因此,不需要任何级别的日志。
每个环境都是不同的,所有的业务都有不同程度的风险,但是至少考虑如下日志:
在今天所有影响着业务的政府法令和行业规则中,似乎没有哪一个可以不受私有权限和安全依从性的影响。不管是管理的主体,依从性的大部分最初原因都是要监控与敏感信息相关的活动,还要进行良好的记录。问题就是,法律和规则中有如此之多的不明确的。当说到审计日志的时候,没有人——我的意思是没有一个人——可以真正地提供一个关于日志需求的确定的答案。日志供应商会告诉你一件事,审计员会告诉你一些另外的事情,还有律师,他们也不可避免地有自己的想法和解释。这并不是是说每个人对或者错。就是说,当说到登陆到你的SQL Server数据库环境的时候,你需要定位那些存在风险的事情,还有那些合理的。判断什么才会最终支持你的法律和规则的需求——不是那些其它人认为你应该做的事情。
对于你的业务来说什么是正确的?
“合理”这个词非常棘手,因为每个人对于什么应该被记录日志,以及以何种方式进行管理都有自己的定义。最终,合理的记录很可能会终结在法庭的定义中。虽然如此,你在这个时候能够做什么才能确保你是在安全的,并且不会被踢出局呢。第一件事情就是判断什么服务器和哪个数据库真的包含了那些需要被保护的敏感信息。这是你自己需要做的,或者是在最近的信息风险评估中已经作过的。记住,在开发或者测试中你需要有一些服务器存放敏感信息,因此,不需要任何级别的日志。
每个环境都是不同的,所有的业务都有不同程度的风险,但是至少考虑如下日志:
- 本文关键词:
