jan2aryЗайцев Фёдорпропущено...

Если не тайна, в чём выражается продвинутая безопасность?Ну хотя бы вот: Oracle Advanced Security .
Вот только ни разу не бесплатно!


Как показывает практика , дешевле админу накинуть 20% ЗП за вредность
и каждый год отправлять на полиграф( детектор лжи).

Alexander RyndinДохтаРпропущено...



Как показывает практика , дешевле админу накинуть 20% ЗП за вредность
и каждый год отправлять на полиграф( детектор лжи).Ведь можно посмотреть с другой стороны. Админу самому неохота иметь доступ к серьезным данным. Меньше знаешь - лучше спишь.
А в Oracle и формально, и фактически можно закрыть доступ администратору к данным. Тот же Oracle Data Vault.
Но это не случай топикстартера.

И фактически и формально , это в первую очередь бюрократическая процедура
менджмента ключей криптования.
И только потом технические средства.

Запускать бюрократическую процедуру ради закрытия доступа к данным
только для сотрудников - зря протраченное время, деньги и
прочий технологический геморой.

Должны быть внешние основания и факторы для защиты информации.
Если их нет, то я этого технологического мазохизма не понимаю.

Alexander RyndinМысли вслух: безопасники говорят, что большая часть утечек информации - дело рук инсайдеров.

Да, но админы в этой цепочке уязвимостей не самое слабое звено.
Инсайдеры могут даже не догадываться, что слили инфу.
рекомендую почитать книгу Кевина Митника "Искуство Обмана".

apapacymiksoft,

Да я и админю сам. Только блин любой физический файл они могут прочитать. Тут собственно и вопрос мой был - шифрование файла БД. Пока склоняюсь к H2. Так пока что бесплатного вроде бы никто не предложил ничего.

Если захотят , то найдут способ прочитать зашифрованный файл.
Это вопрос желания( мотивации ) и времени.

Растянуть это время до момента пока данные станут не актуальными
может соблюдение правильно построенной организационно-бюрократической процедуры.
Чем длиннее время, когда данные считаются актуальными , тем жестче процедура.

Криптография без соотвествующих организационных процессов
никакой сохранности данных не гарантирует.

miksoftapapacymiksoft,

Да я и админю сам. Только блин любой физический файл они могут прочитать. Тут собственно и вопрос мой был - шифрование файла БД. Пока склоняюсь к H2. Так пока что бесплатного вроде бы никто не предложил ничего.Я имел в виду админить не только БД, но вообще весь сервак. Тогда никакого "файл они могут прочитать" не будет.

Кому то покажется, что я ерничаю ,

но в таком случае нужно тянуть на себя всю виртуальную среду ( если сервак виртуальный)
и управелние бэкапами.


Нужно соизмерять вероятность реализации рисков и финансовых последствий,
с затратами на привинтивные меры по минимизации рисков.


Как показывает практика , регулярные операционные расходы на обслуживание криптованных БД
гораздо превосходят потери от утечки информации.
Особенно если учитывать, что
утечка может произойти не через копирование файлов БД ,
а через коннект к БД с пользовательских рабочих станций
к которым теже админы, от которых защищаются файлы на сервере
вероятнее всего имеюь доступ.

Самая большая проблема в том , что выяснить через какой канал произошла утечка практически не реально. Она может произойти даже через снятие скриншота рабочего стола на РС.