Database Encryptie SQL server 2005

Wat heeft dat te maken met de beveiliging van je webapplicatie? Ik heb het idee dat je wellicht erg nutteloos moeilijk aan het doen bent

Met Trucrypt, maar het lijkt me dat je dat niet wilt. Waarom wil je de database versleutelen? Als je je rechten goed instelt, en de toegang op de correcte manier regelt hoef je je database niet te versleutelen hoor. Eventueel zou je ervoor kunnen kiezen bepaalde belangrijke velden (zoals wachtwoorden en creditcardnummers) te versleutelen. Daar zijn natuurlijk veel methodes voor, maar die kun je met wat gegoogle wel vinden lijkt mij.

Verwijderd schreef op woensdag 01 augustus 2007 @ 09:44:
De database mag op geen enkele manier geopend worden. Er zit namelijk patient data in. Als iemand bij uberhaubt bij de database komt mag hij/zij er niet zomaar in kijken. De website en de database draaien op een aparte server.

Gebruik van views, bekend hiermee?

Verwijderd schreef op woensdag 01 augustus 2007 @ 09:49:
Ben ik niet bekend mee.

View is zegmaar een beperkt beeld van een specifieke tabel of meerdere tabellen.. Wanneer je deze views aanmaakt weet je dus precies wat je clients zien..

Maar voor ik je het diepe ingooi, hoe zit het met je password policy, login procedure, communicatie tussen de web app en db, etc?

Bedenkelijk...

Waarom wil je encryptie gebruiken ?
Hoe wil je encryptie gebruiken ?
Waar ga je decrypten ?
Op welke manier wil je authenticatie en autorizatie doen ?
Wie gaan met de app werken ?
Welke manier van beveiliging ga je toepassen ?

Verwijderd schreef op woensdag 01 augustus 2007 @ 09:49:
Ben ik niet bekend mee.

als je er niet mee bekend bent, ben jij dan wel de aangewezen persoon om met patient-data te werken?

Client Software Algemeen > Windows Servers en Server-software.
Het is de bedoeling dat je zelf wat onderzoek doet voor je een topic opent, en de bevindingen daarvan hier vermeldt. Zo komt je vraag over als een helpdeskvraag, en die zien we hier liever niet.

Sorry, maar als je niet eens weet wat een view is, wil je dan alsjeblieft iemand inhuren die er wel verstand van heeft?

edit: dat komt een beetje hard over, dat is niet de bedoeling, maar je maakt je terecht zorgen over de gegevens die je opslaat. Ik denk dat je voor het veilig opslaan van gegevens op de verschillende terreinen goed moet weten wat je doet. Zowel op de inrichten van (de rechten van) de database, als de netwerkarchitectuur. Weet je van een bepaald onderdeel minder, dan zou ik daar professioneel advies voor inroepen.

[ Voor 63% gewijzigd door P_de_B op 01-08-2007 10:03 ]

P_de_B schreef op woensdag 01 augustus 2007 @ 09:59:
Sorry, maar als je niet eens weet wat een view is, wil je dan alsjeblieft iemand inhuren die er wel verstand van heeft?

Hmmm...iets te zwart - wit...

Door bijvoorbeeld stored procedures toe te passen heb je helemaal geen views nodig.

@TS: Probeer ajb eens (al) mijn vragen te beantwoorden...

Daarnaast, verdiep je eens in certificaten (client en server site), denk dat je daar een hoop mee kan bereiken.

[ Voor 12% gewijzigd door lier op 01-08-2007 10:07 ]

lier schreef op woensdag 01 augustus 2007 @ 09:55:
Bedenkelijk...

Waarom wil je encryptie gebruiken ?
Hoe wil je encryptie gebruiken ?
Waar ga je decrypten ?
Op welke manier wil je authenticatie en autorizatie doen ?
Wie gaan met de app werken ?
Welke manier van beveiliging ga je toepassen ?

Zou de TS deze vragen allemaal even kunnen beantwoorden en toelichten? Je technische vraag geeft extreem veel privacy problemen. Het spijt me, maar je mijn persoonlijke gevoel zegt mij dat je je kennisniveau moet opkrikken en die van je superieuren waarschijnlijk ook.

Over wat voor patient gegevens hebben we het hier eigenlijk? En wat is de bron? En wat is de scope? Zonder goede authenticatie en autorisatie mechanismen of afscherming van jullie machines is een surprise visite van het College Bescherming Persoonsgegevens. Die kunnen jullie ook met technische dingen helpen. En anders is een werk groep bij het AMC wel interestant om te ondervragen voor informatie die hier mee bezig is.

[ Voor 17% gewijzigd door VisionMaster op 01-08-2007 10:18 ]

Blegh, ook even vergeten dat het hier om SQL2k5 gaat. Die heeft inderdaad native mogelijkheden om encryptie toe te passen. Als ik even snel google vind ik erg veel artikelen hierover. Heb je daar al eens goed op gezocht?

Hier bijvoorbeeld: http://www.microsoft.com/...se/content/sqldatsec.mspx

P_de_B schreef op woensdag 01 augustus 2007 @ 10:15:
Blegh, ook even vergeten dat het hier om SQL2k5 gaat. Die heeft inderdaad native mogelijkheden om encryptie toe te passen. Als ik even snel google vind ik erg veel artikelen hierover. Heb je daar al eens goed op gezocht?

Hier bijvoorbeeld: http://www.microsoft.com/...se/content/sqldatsec.mspx

Dat is een stuk naieve tekst. Dit gaat er o.a. vanuit dat je een nogal established CA hebt voor je PKI infastructuur. Ik weet zeker dat niet alleen de TS, maar ook vele andere Tweakers en de superieuren van de TS hier niet meer van weten dan dat het bestaat. Voor het AMC' hun onderzoeks omgeving draaien wij de CA hier. Voornamelijke vanuit de Grid omgeving geinitieerd, maar eigenlijk voor de hele academische kant van de Nederlandse wetenschap. Dat is niet effe, 4x op Volgende drukken, gevolgt door Finsih en u heeft en draait een CA

Verwijderd schreef op woensdag 01 augustus 2007 @ 10:21:
Het wordt al wel goed beveiligd het formaat is dicom en allleen artsen kunnen er bij.
We willen het alleen nog verder beveiligen.

Wat? weet je wel wat DICOM is?
http://staff.science.uva....yMedical/Blanchet2006.pdf
Hier heb je wat interessant informatie voor je om door te ploegen. En hier staat er ook nog wat in als inleiding: http://www.i3s.unice.fr/~johan/publis/HealthGrid06a.pdf

[ Voor 21% gewijzigd door VisionMaster op 01-08-2007 10:25 ]

Verwijderd schreef op woensdag 01 augustus 2007 @ 10:41:
Ik weet wat het is. We voldoen binnen het bedrijf aan de NEN7510 en zijn met het UZI register bezig voor beter beveiliging en certificaten.

De NEN7510 norm is een norm en verteld niets over hoe je met je data perse om moet gaan op een technisch niveau. Het is een norm die te interpreteren valt. Verder lees ik op de NEN7510 website dat je jezelf NEN7510 confirm mag noemen, na een self-assessment. Dat zegt dus ook niet veel

Verder is DICOM een open formaat. Een defacto dat geinterpreteerd mag worden op een andere manier per fabrikant. De beveiliging is op het formaat niet aanwezig, omdat het ontworpen is in een tijd voor Internet en data sharing. Dus, aangenomen was dat het enkelt binnen de clinische omgeving wordt toegepast. Als je daar aan twijfelt aan die clinische omgeving (je vroeg ten slotte om database encryptie) dan is je voor aanname ook al niet prettig. De DICOM servers geven je de uiteindelijke beveiliging. Niet DICOM als formaat ansich.

De aansluiting met het UZI register is een heel stuk beter, omdat die mensen het (denk ik, eerste indruk) wel een begrijpen. Maaruh, gaan ze bij het UZI ervanuit dat je zelf een CA gaat draaien binnen je zorg instelling? Ik krijg die indruk wel.

edit:
Maaruh, de PDF linkjes gaan in op het onderwerp data encryptie en ook distributie van de data tussen verschillende locaties. Wellicht dat er wat handige dingen instaan die je kan gebruiken.

[ Voor 6% gewijzigd door VisionMaster op 01-08-2007 11:01 ]

Verwijderd schreef op woensdag 01 augustus 2007 @ 11:04:
Nog maals de vraag we dwalen te veel af. Hoe kan ik die encryptie op de database implementeren in SQL server 2005. Ik heb daar nog steeds geen informatie over.

Nogmaals, wat heb je zelf al kunnen vinden. Het forumis geen vraag- en antwoordsysteem waar je een vraag neerplempt en een pasklaar antwoord krijgt. Er is echt veel te vinden over native encryptie van SQL Server 2005. Welke zaken zijn nu nog niet duidelijk?

Verwijderd schreef op woensdag 01 augustus 2007 @ 11:04:
Nog maals de vraag we dwalen te veel af. Hoe kan ik die encryptie op de database implementeren in SQL server 2005. Ik heb daar nog steeds geen informatie over. We willen namelijk maximale beveiliging. Zekere voor het onzekere

Dude... nogmaals je vraag ansich is al fout en zorgwekkend ook al kan je het technisch prima doen en configureren. (Google is je vriend en ook MSDN pagina's).

Verwijderd schreef op woensdag 01 augustus 2007 @ 11:07:
vertel me waar ik kan het niet vinden

Er is al een handige link gegeven met extra referenties vanuit die link. Lees alles nog effe door hierboven en probeer ook even na te gaan waarom wij allemaal zo zorgwekkend afdwalen van je oorspronkelijk vraag. Hier zit een reden achter.

[ Voor 28% gewijzigd door VisionMaster op 01-08-2007 11:13 ]

http://www.google.nl/sear...&btnG=Google+zoeken&meta=

[ Voor 4% gewijzigd door P_de_B op 01-08-2007 11:08 ]

Verwijderd schreef op woensdag 01 augustus 2007 @ 11:04:
Nog maals de vraag we dwalen te veel af. Hoe kan ik die encryptie op de database implementeren in SQL server 2005. Ik heb daar nog steeds geen informatie over. We willen namelijk maximale beveiliging. Zekere voor het onzekere

Deze al bekeken ?
Wat heb je zelf gezocht/gevonden ?

coenjans, het is echt de bedoeling dat je zelf inzet toont. GoT is geen helpdesk. Lees Het algemeen beleid en Windows Servers en Server-Software - Policy nog eens goed door, en vul de gebrekkige informatie welke je tot nu toe hebt gegeven aan. Zonder inzet van jouw kant heeft dit topic geen zin zo.

Nee nu, open maar een nieuw topic wat wel voldoet aan de regels.