数据库安全审计等保最佳实践
DBSS可以从审计日志的天数、审计合规的报表、审计日志的隐私合规的配置来进一步满足等保合规。
审计日志天数的合规配置
相关审计法规规定,审计日志至少保留半年。DBSS服务会自动预测审计实例的剩余存储空间是否能够满足半年审计日志的合规要求,若不满足会给出界面提示。
当出现如图1所示提示时,请开启自动备份,开启备份详情请参见自动备份数据库审计日志。
开启自动备份时,备份周期优先选择“每小时”。
若每天的备份文件大小总和小于50MB时,建议选择“每天”。
审计报表的合规配置
为了能够更及时、准确地了解合规状况,建议开启审计报表计划任务。
建议您优先设置如图2所示的报表计划任务。
单击“设置任务”可对计划任务的参数进行设置,参数说明如表1所示。
参数名称 |
参数说明 |
取值样例 |
---|---|---|
启动任务 |
启动当前任务的开关。
|
|
消息通知 |
生成报表后是否发送通知。
|
|
消息通知主题 |
“消息通知”选择开启时在此项选择预设的消息通知主题。 |
- |
报表类型 |
选择报表生成的周期类型。
|
周报 |
执行方式 |
计划任务创建后执行的次数。
|
周期执行 |
执行时间 |
目标任务执行的具体时间点,可选择24小时内的任一整点时间。 创建任务后自动执行,建议选择在工作负载较低的时间段,如:凌晨。 |
2点 |
数据库 |
选择需要执行目标任务的数据库,可选择全部数据库,也可选择具体的单个数据库。 |
全部数据库 |
审计日志隐私的合规配置
由于审计日志中的SQL请求语句和结果集中可能包含用户的隐私数据,建议对审计日志开启隐私数据保护,以防止违反隐私保护相关合规要求。
通过配置如下可满足隐私数据的合规要求:
- 开启“隐私数据脱敏”开关:开启后会对审计日志中的隐私数据进行脱敏存储。
- 关闭“存储结果集”开关:关闭后,审计日志含有隐私信息的结果集将不会存储到审计日志中。
- 开启所有的隐私保护规则。