在这个经济低迷时期,由于预算限制最安全措施实现不是因为增强有助于保护网络,而是因为该公司需要满足的法规之一,无论袜、HIPAA、PCI或政府C&A。所有法规要求加密!在复杂的网络,网络的要求就可以扩展到75% !
让我们暂时访问我的噩梦——HIPAA。对于不熟悉HIPAA的读者,这是医疗监管分为3个主要部分——技术、物理、管理。监管历来非常有待解释的小节分为“必需的”或“可寻址”。在我看来,最大的HIPAA垮台是它不提供任何更多的指导或见解部分,不显式地定义相当基础的概念。我明白美国卫生和公众服务部的初衷休闲限制非常小的实体的覆盖不会撞出,但最近ARRA和高科技的规定很明显,美国卫生和公众服务部开始收紧的信息安全方面。但直到澄清被释放时,我们离开了破译HIPAA为自己(和希望审计师和律师我们让步)。
HIPAA“间接”需要日志审计包括以下(当然HIPAA并不明确地说这但接触6众所周知的HIPAA审计师他们单独同意):
谁做了什么(行动)(数据)时(时间戳),并从那里(IP或终端ID -尤其是对远程访问)。
现在大多数默认数据库审计日志不获取广泛的信息所以dba需要启用C2审计(http://www.databasejournal.com/features/mssql/article.php/3399241/sql服务器- 2000 -安全- - 10 auditing.htm一部分)。但不是一个巨大的交易现在,数据库日志作为追求数据库本身!所以我不仅需要记录到日志服务器的加密传输但现在我面对日志服务器的硬盘加密解决方案。介绍数据加密服务器上……废话! ! !<于是我上一篇博文咆哮对数据加密>
从这3结论:
- 日志服务器内HIPAA网络比数据库服务器的主要目标!
- 加密敏感数据之间有意义但静止数据加密(在服务器、以及备份磁带)我强烈推荐公司密切未加密的数据库以备不时之需。显然保持未加密数据库离线,气隙,锁在一个双重生物安全SCIF-ish访问数据中心(或最接近相当于贵公司可以负担得起),只有最信任的员工可以访问。
- 最重要的是,公司没有准备好这个新ARRA /高科技水平的合规,绝对是有道理的……它将导致大规模混乱!