จะมีวิธีการป้องกัน Database ได้อย่างไรเมื่อโปรแกรมเราไม่ได้ทำ Encryption Data ไว้
วิธีการป้องกัน Database เมื่อโปรแกรมเราไม่ได้ทำ Encryption Data ไว้
1. ควรมีการกำหนดรหัสผ่านของ SA ให้ยากต่อการคาดเดา และยากต่อการเจาะระบบ เช่น ตั้งรหัสผ่านให้มีทั้งตัว
อักษรตัวเล็ก,ตัวใหญ่,ตัวเลขตั้งแต่ 8 ตัวอักษรขึ้นไป
2. สร้าง User Login ใน SQL Server ใหม่ (ให้มีการตั้งรหัสผ่านไว้ด้วย) กำหนดสิทธิ์ในการเข้าใช้งาน Database
แล้วใช้ User Login ดังกล่าวในการเข้าระบบโดยไม่ต้องแจ้งรหัสผ่านดังกล่าวให้กับ User รู้
3. กรณีมีผู้รู้รหัสผ่านมากกว่า 1 คน ให้ตั้ง Login แยกกันรายบุคคลโดยไม่ให้รู้ Password ของคนอื่น
4. ให้กำหนดสิทธิ์ในการ Backup Database ใน SQL Server ให้แยกจาก User ที่ใช้ Login เข้าโปรแกรม
5. ให้กำหนดสิทธิ์ในการเข้าถึง Folder ที่เก็บ Backup ไว้ (Sharing and Security ใน Windows)
6. ควรมีนโยบายการเปลี่ยน Password ตามระยะเวลา เช่น เดือนละครั้ง หรือ 3 เดือนครั้ง
7. หมั่นตรวจสอบการเข้าใช้งาน Database เพื่อตรวจสอบความผิดปกติของการเข้าใช้งานของแต่ละ User
7.1 ให้ปรับให้เก็บ Log ทุกครั้งที่มีการเข้าใช้งาน (Login auditing : Both failed and successful logins)
7.2 ตรวจสอบการ Login ได้ที่ Windows Log (คลิ๊กขวา My Computer -> Manage -> Event Views >
Windows Logs (หรือดูจาก Log ของ SQL Server โดยตรงก็ได้)
