2011年3月19日 星期六

個人資料保護法與資料庫稽核以SQL Server為例

        由於個人資料保護法已經通過,所以許多企業已經開始應該措施開始進行處理,但是仍然還是有許多客戶反應慢半拍,其實許多個資的問題的大部份皆由企業內部所造成,而資料與資料庫的稽核追蹤就更顯的重要,而SQL Server以往有C2的功能可以使用,但是啟用後資源耗損過多,所以大部份我都會建議客戶透過Profiler來進行錄製,而在SQL Server 2008之後又加入了資料庫稽核的功能,那整個流程又更加的完備,而且處理效能與儲存空間上都有很好的表現。

        但是大部份設定稽核(Audit)機制的皆為DBA系統管理者(Administrator、Root),這些群組的人權則都非常的大,可能在取得利用這些資訊後,就把紀錄給銷毀掉,所以在方案上感覺還是不夠完整,但其實個人認為問題其實不難,不需真的這樣就放棄了這些功能,而又花一筆錢去買一套系統軟體管理並進行稽核,基本上SQL Server都可以做的很好,如果真的怕有心人士銷毀資料,可以利用權限控管的方式加以運作並把紀錄予以隔離,相信一定可以為客戶達到把關的動作,也讓企業不用再擔心個人資料保護法對公司的影響。



SQL Server 2008 資料庫稽核介紹http://msdn.microsoft.com/zh-tw/library/cc280386.aspx
原廠個人資料保護法介紹http://www.microsoft.com/taiwan/security/privacy/checklist.htm

沒有留言:

張貼留言