國華盛頓郵報(bào)公司安全團(tuán)隊(duì)開發(fā)出利用賽門鐵克數(shù)據(jù)庫安全與審計(jì)(SDSA)設(shè)備監(jiān)視數(shù)據(jù)庫的一系列客戶化的政策。他們是如何在已有安全策略基礎(chǔ)上做優(yōu)化的呢？又是如何保證策略的實(shí)施呢？

雖然賽門鐵克的這種設(shè)備配置了一些現(xiàn)成的安全政策，但是，這家公司不斷地優(yōu)化這些政策以便減少誤報(bào)，以便使安全團(tuán)隊(duì)把注意力集中在真正的安全問題上。華盛頓郵報(bào)信息安全和隱私部門經(jīng)理Stacey Halota總結(jié)并提出了在策略優(yōu)化過程中遇到的一些經(jīng)驗(yàn)。

1.你要了解你要得到什么。在執(zhí)行政策的時(shí)候，重要的是不要制定泛泛的安全政策。你要特別認(rèn)真，你要知道你的要求不太過分，因?yàn)槟悴恍枰罅康臎]有真正意義的信息。監(jiān)視應(yīng)用程序的ID就是一個(gè)例子。有些應(yīng)用程序在執(zhí)行各種功能的時(shí)候反復(fù)調(diào)用這個(gè)應(yīng)用程序的ID。最終用戶看不到這個(gè)ID，但是，這個(gè)ID一直在與數(shù)據(jù)庫進(jìn)行互動。因此，如果你查看它更新的東西，那可能有100萬個(gè)東西。

要把重點(diǎn)放在異常情況方面。我們關(guān)心的是這個(gè)應(yīng)用程序ID是否來自于意想不到的地方。因此，我們知道這個(gè)應(yīng)用程序ID總是來自于應(yīng)用服務(wù)器的某個(gè)地址。我們不是在應(yīng)用程序ID每一次更新某些東西的時(shí)候都進(jìn)行檢查，我們重點(diǎn)檢查來它的更新是否來自自某些地址以外的其它地方。你在兩分鐘之內(nèi)就可以創(chuàng)建一個(gè)這樣的政策。

2.注意漏報(bào)。即使你認(rèn)真設(shè)置了政策，這些設(shè)備仍可能出現(xiàn)錯(cuò)誤。例如，賽門鐵克數(shù)據(jù)庫安全和審計(jì)設(shè)備向Halota的團(tuán)隊(duì)發(fā)出了這個(gè)數(shù)據(jù)庫的某些區(qū)域存在風(fēng)險(xiǎn)的警報(bào)。這個(gè)設(shè)備認(rèn)為我們的數(shù)據(jù)的一個(gè)字段是一個(gè)信用卡號碼，實(shí)際上卻不是。當(dāng)我們第一次看到這種警報(bào)的時(shí)候，我們認(rèn)為所有這些財(cái)務(wù)記錄都應(yīng)該從數(shù)據(jù)庫中取出來。但是，這些數(shù)據(jù)實(shí)際上不是財(cái)務(wù)數(shù)據(jù)。

3.不斷改進(jìn)設(shè)置。Halota認(rèn)為制定政策是一個(gè)反復(fù)的過程?？偟膩碚f，我們制定安全政策用了一個(gè)月的時(shí)間。我們當(dāng)時(shí)有一些現(xiàn)成的政策，但是，其它一些政策需要更長的時(shí)間。你在先制定一些安全政策，然后下個(gè)月再制定一些安全政策，之后在執(zhí)行的過程中對這些安全政策不斷地進(jìn)行調(diào)整。這是你一直要做的事情。

更多信息請查看IT技術(shù)專欄