Tietokannan suojaus

Ei

Joitakin perusasioita palvelintietokannoista ja niiden suojauksesta:

1. Palvelimen käyttöjärjestelmä, webbipalvelinohjelmisto (esim Apache/PHP) ja tietokantapalvelinohjelmisto (esim mySQL) on ajan tasalla (päivitetty) ja oikein konfiguroitu (konfigurointitiedot ja tiedostot ei saa näkyä ulospäin), turhat palvelut pois käytöstä ja palomuuri käytössä (tietokanta-aksessi sallittu vain webbipalvelimen kautta)

2. Hakemisto ja tiedosto-oikeudet on asetettu mahdollisimman turvallisiksi huomioiden webbi- ja tietokantapalvelimen ajo-oikeudet (käyttäjätunnukset)

3. Tietokannan käyttäjät/oikeudet asetettu niin, että oikeudet tauluihin on rajattu , joka tapauksessa vain admin-käyttäjä täysillä oikeuksilla kantaan, kunnolliset tilit ja salasanat (käyttäjien salasanoja ei säilytetä selväkielisinä vaan hashattyinä ja mahdollisesti vielä suolattuina)

4. Tietokannan SQL-lauseet on oikein suunniteltu: syöttötiedoille tarkistukset, mielellään prepared-statement tai stored-proseduurit käyttöön (=SQL-injektioiden esto, tähän on valmiita testitapauksia, millä tätä voi testata)

5. SSL (https) suojaus sessioille (käyttäjätiedot kulkee salattuna)

6. Palvelimen mirrorointi/duplikointi jos halutaan 100% käytettävyys

7. Tietokannalle on backup-suunnitelma ja sitä noudatetaan

8. Tarvittaessa logataan kantaan käyttäjien yhteydenotot ml. IP

Kiitos vastauksista!