2
搜索並摧毀/捕獲非法數據...途徑查找/控制非法數據
環境:
我管理幾個非常「開放」的數據庫。訪問類型通常是全選/插入/更新/刪除。訪問數據的機制通常是通過定製構建MS Access數據庫中的鏈接表(到SQL-Server)。
規則
沒有社會安全號碼等(例如,認爲FERPA/HIPPA)。
的問題
在用戶輸入/隱藏在創造性的方式非法數據(例如,爲ssn在中間名稱字段中,等);行政/紀律控制薄弱/無效。一般的態度(甚至從大多數老闆)是安全是一個麻煩,如果你找到一個方法,然後對你有好處,等我需要一個(更好)的方式來找到之後的數據它已被輸入。
我已經試過
起初,我所做的修改,以各種定製的用戶界面鄉親(我知道的),一路下跌到他們的鏈接表結構到我們的數據庫服務器。例如,SSN不再擁有自己的領域,等等。然而......我仍然發現他們埋在了其他數據領域。
經過祕密審計後,我所在機構的一些人做了,他們發現了這些埋藏數據,我寫了一些sql(字面上)檢查數據庫每個表中每個字段字段中的每個字符,尋找匹配ssn模式。運行需要很長時間,用戶正在尋找解決我的模式定義的方法。
我的問題
當然,真正的解決方案將需要執行政策。這必須在我的頭上解決,但是,這超出了我的立場和範圍。
您是否知道或您將使用任何針對FERPA & HIPPA數據進行審計的(免費或商業)工具? (或者,如果沒有這些政策明確,那麼一般只是數據模式?
我想找到我可以按計劃運行的東西,並一直陪着新格局的定義更新。
謝謝 - 我一般都同意,並通過審計表確定了誰在做這件事,但不幸的是,我能做的最多的事情就是讓他們失望 - 他們保證不再做這件事,並且我們走了。黃銅不會對此進行約束,所以除非有所改變,否則這是不可預防的。我只是*希望*有一種更簡單的方法來搜索和摧毀非法數據比我的本土解決方案...啊,呃... – Chains
順便說一句 - 我沒有考慮做一個更短的搜索只是爲了數據來自某些問題用戶 - 我想這有點像反病毒「快速掃描」,而不是「全掃描」,這實際上可能會使這一點更加成立,因爲它會更快我會以這種方式抓住80%然後不要經常進行全面掃描,以便找到其餘的部分。 – Chains
如果是來自問題用戶,並且您不會因此而陷入困境,只需向您的總法律顧問辦公室發送便條,詢問您對該用戶及其管理層的情況。只是要小心,它看起來並不像你在做什麼,而是在尋找公司。 :) – Iterator