《oracle完整数据安全方案20111108》由会员分享,可在线阅读,更多相关《oracle完整数据安全方案20111108(32页珍藏版)》请在金锄头文库上搜索。
1、完整的信息资产安全方案,黄志东 Oracle Product Strategy 数据安全专家,Oracle全面技术 解决核心数据安全问题,说到保护IT资产安全,各种方案应有尽有,6,网络加密,VPN,网络访问控制,身份识别,防火墙,入侵检测,数据遮蔽,Web防火墙,入侵防护,防病毒,网络访问控制,防间谍软件,网络防火墙,入侵检测,行为审计,权限管理,设备控制,数据库防火墙,维基解密,安全也是云计算中的主要问题,随着数据库规模变大,数据库成为企业信息资产的同时,也被越来越多的不良之徒所觊觎 数据被违规访问、删、改、复制和缺乏审计的安全问题,已经成为IT系统最大的威胁 根据IOUG 和Verizo
2、n Business的最新市场调查,2010年全球造成严重后果的IT安全事件中92%是针对数据库的侵入,89%的黑客采用了SQL注入技术,84%的外部攻击利用了管理不善的数据库用户权限 数据库安全造成的IT系统损失是100%的,什么IT信息安全的最大威胁?,被侵犯数据的主要来源: 92% 的记录源自被侵入的数据库服务器,2010 数据侵犯调查报告,普遍缺乏对核心数据实施保护,2010 IOUG 数据安全报告,Oracle数据安全方案在整个安全体系中的位置,核心数据,复杂业务系统的安全方案越发困难,解决方案:完全数据安全体系架构,。,。,各业务部门维护人员,信息技术部门维护人员,应用开发商维护人
3、员,系统用户,中间件服务器 AS/Web,数据库服务器,磁盘系统,Data Warehouse,威胁数据安全手段方式示意图,Backup,客户端的S QL恶意注入,网络传输过程中的SQL替换,应用层的 程序预埋,数据库层面的 合法和非法操作,数据库内的存储过程预埋,测试过程获得 敏感数据,备份过程中的敏感数据获得,日常工作和维护过程的敏感数据修改和获得,。,。,各地业务部门维护人员,各地信息中心维护人员,应用开发商维护人员,系统用户,中间件服务器 AS/Web,数据库服务器,磁盘系统,安全配置和管理 企业管理器,敏感数据遮蔽,Label Security,Active Data Guard,安
4、全备份,Data Warehouse,数据安全方案产品部署层次示意图,Backup,完全数据库操作审计,库外网络防范,数据库内防范,行为监控,Advanced Security,用户访问控制,数据安全方案应具有的基本功能,数据账户分层管理,三权分立 企业内部和外协公司账户的分层管理 技术维护和企业业务人员账户的分层管理 访问和操作权限控制 何时、何地、何人、有何访问和操作权限 防止对核心数据的越权操作和误操作 敏感操作的记录和分析 记录关键操作的业务人员或维护人员的ID、时间、地点、和具体动作 对规模化的合法动作进行分析和挖掘,找出可能的安全管理漏洞 随着企业内部业务信息化的推进,以及互联网业
5、务的逐步推广,需要记录和分析内部和外部用户的行为习惯和具体操作。,。,。,各地业务部门维护人员,各地信息中心维护人员,应用开发商维护人员,系统用户,中间件服务器 AS/Web,数据库服务器,磁盘系统,安全配置和管理 企业管理器,敏感数据遮蔽,Label Security,Active Data Guard,安全备份,Data Warehouse,数据安全方案产品部署层次示意图,Backup,完全数据库操作审计,库外网络防范,数据库内防范,行为监控,Advanced Security,用户访问控制,按照业务划分 的职责和授权,限制各种应用 用户的使用权限,对关键数据 采取保护措施,对用户登录 进
6、行审计,对敏感操作 进行审计,数据保护系统 综合报告,数据保护方案的基本功能和策略,对于关键操作 进行完全回放,功能逐步细化,实现逐步简化,旁路监听 串联阻断,Database Firewall - 单位传达室,监控模式数据库审计服务器,监测(Monitor Only)模式 不阻止 也被称为“SPAN”、“Span port”、“Mirrored”或者“Tap” 只进行SQL操作的记录和报告 易于部署,对数据库和应用没有影响,数据库防火墙模式,阻止和监测 密切监测SQL通信,并对照安全策略进行检验 也被称为“Bridge”或者“Transparent Bridge” 有时,只有在没有Out o
7、f Band端口时使用,数据库防火墙 高可用性策略,策略分析器 创建安全策略 在Windows桌面上运行,数据库防火墙 管理服务器 报告,归档信息库 防火墙管理,策略管理 报警,集成,数据库防火墙 (HA 模式),阻止未授权的访问 监视数据访问,数据库防火墙,远程/本地监测,发送网络流量信息,数据库防火墙完善的报表系统,Database Firewall 日志数据被整合到报告数据库中 130 多个可修改、可自定义的内置报告 用于数据库查证和审计的授权报告 数据库活动和授权用户报告 支持演示 PCI、SOX、HIPAA/HITECH 等控件,Database Vault - 数据库级的门禁保护,
8、数据账户分层管理,三权分立 企业内部和外协公司账户的分层管理 技术维护和核心业务人员账户的分层管理 访问和操作权限控制 何时、何地、何人、有何访问和操作权限,Oracle Database Vault 法规遵循和防止来自内部的威胁,对授权用户的控制 限制数据库管理员访问应用程序的数据 提供职责分离的功能 保证数据库和信息整合的安全性 执行数据访问的安全策略 控制何人、何时、何地以及如何访问数据 可根据IP地址、时间或授权等情况作出访问决定 可应用于 Oracle9i R2 Oracle10g R2 Oracle11g,报表,领域,多因子授权,职责分离,命令规则,22,Audit Vault -
9、 敏感操作监控摄像头,在实际工作地点家装摄像头,记录关键工作的动作。,全库操作的监控审计,代理,Audit Vault Server,库内文件,操作系统,REDO,代理,数据库1,数据库2,数据库3,库内文件,操作系统,REDO,库内文件,操作系统,REDO,RUEI安全功能:安全事件关键页面定制捕获回放,Oracle 数据库配置管理 保护您的数据库环境,发现数据库并将其分类到策略组 依据 400 多个最佳实践和行业标准以及自定义的企业专用配置策略对数据库进行扫描 检测进而防止未授权的数据库配置更改 更改管理信息板与合规性报告,监视,配置管理 与审计,漏洞管理,修复,分析与解析,确定优先级,策
10、略管理,评估,分类,监视,发现,资产管理,Oracle Total Recall 跟踪和恢复被篡改数据,select salary from emp AS OF TIMESTAMP 02-MAY-09 12.00 AM where emp.title = admin,透明地跟踪应用程序数据随时间的更改 数据库中高效、抗干扰的归档存储 使用 SQL 实时访问应用程序的历史数据 简化的突发事件取证和恢复,根据业务因素对用户和数据进行分类 在数据库中实施行级访问控制 通过 Oracle Identity Management Suite 对用户进行分类 分类标签可以是其他策略中的因素,Oracle
11、Label Security 对数据和用户进行分类以便实现自动访问控制,机密,敏感,事务,报告数据,报告,敏感,机密,公共,Oracle Advanced Security 数据网络加密和库内数据透明加密,对静止的应用程序数据完全加密,防止 IT 人员或操作系统用户直接访问存储在数据库文件中、磁带上、导出的数据和其他数据 无需更改应用程序即可对应用程序数据实现高效加密 使用 HSM/KMS 既可实现针对 SoD 的内置双层密钥管理又支持集中密钥管理 数据库用户的强身份验证实现了更安全的身份保证,应用程序,Oracle Data Masking 对敏感数据的遮蔽,使应用程序数据安全地使用于非生产
12、环境 防止应用程序开发人员和测试人员看到生产数据 用于数据屏蔽自动化的可扩展模板库和策略 自动保留引用完整性,以便应用程序能够继续正常运行,生产数据库,非生产数据库,数据永不离开数据库,Oracle 安全产品 唯一获得数据保护高等级安全认证的产品,Evaluation Assurance Level 4 Augmented (EAL 4+) EAL4+是欧美高标准安全认证的最高等级 意味着产品方案可以在全球范围内可以放心使用,Database Vault,Secure Configuration Scanning,Transparent Encryption,Label Security,Audit Vault,Secure Backup,最完整的数据安全方案和产品系列,紧贴数据库,无法绕行攻击 全面,完整 随数据库自动升级,DB Firewall,
