《数据库的安全性与合规性纵深防御课件》由会员分享,可在线阅读,更多相关《数据库的安全性与合规性纵深防御课件(39页珍藏版)》请在金锄头文库上搜索。
1、数据库的安全性与合规性的“纵深防御,Senior Sales Consultant hanson,数据库的安全性与合规性纵深防御,Agenda,数据库安全的业务驱动因素 Oracle 的数据安全性的发展 加密与数据屏蔽的产品 访问控制层面的产品 监控层面的产品 结合安全审计产品的案例 Q&A,数据库的安全性与合规性纵深防御,数据库安全的业务驱动因素 Oracle 的数据安全性的发展 加密与数据屏蔽的产品 访问控制层面的产品 监控层面的产品 结合安全审计产品的案例 Q&A,数据库的安全性与合规性纵深防御,Oracle 数据库安全性 业务驱动因素,数据合并 全球化 权力外包,数据库的安全性与合规性
2、纵深防御,DBA,select SIN from user_clients,alter table,高度机密,机密的,公共,中间层,Oracle 数据库安全性 信息安全的挑战,数据库的安全性与合规性纵深防御,Agenda,数据库安全的业务驱动因素 Oracle 的数据安全性的发展 加密与数据屏蔽的产品 访问控制层面的产品 监控层面的产品 结合安全审计产品的案例 Q&A,数据库的安全性与合规性纵深防御,数据屏蔽 TDE 表加密 Oracle Total Recall Oracle Audit Vault Oracle Database Vault 透明数据加密(TDE) 实时屏蔽 安全配置扫描
3、细粒度审计 Oracle Label Security 企业用户安全性 虚拟专用数据库(VPD) 数据库加密 API 强身份验证 自带网络加密 数据库审计 政府客户,Oracle 数据库安全性 持续创新,Oracle7,Oracle8i,Oracle 数据库 9i,Oracle 数据库 10g,Oracle 数据库 11g,数据库的安全性与合规性纵深防御,Oracle 数据库安全性为实现安全性与合规性的“纵深防御,Database Vault,标签 安全性,访问控制,配置管理,Audit Vault,Total Recall,监视,数据屏蔽,高级安全性,安全 备份,加密与屏蔽,数据库的安全性与
4、合规性纵深防御,Agenda,数据库安全的业务驱动因素 Oracle 的数据安全性的发展 加密与数据屏蔽的产品 访问控制层面的产品 监控层面的产品 结合安全审计产品的案例 Q&A,数据库的安全性与合规性纵深防御,Oracle 高级安全选件ASO 透明加密和强认证,通过RMAN能够 加密整个备份 输出到磁盘,透明网络加密,强认证 (PKI, Kerberos,数据库的安全性与合规性纵深防御,Oracle 高级安全选件ASO 表空间加密Tablespace Encryption,加密所有应用数据 加密整个数据库文件 不用担心需要逐列的加密 高效 高性能 与Oracle 数据的压缩集成 应用无需改变
5、 支持所有的数据类型 索引范围扫描,SQL Layer,data blocks “*M$bs%&d7,undo blocks,temp blocks,flashback logs,redo logs,Buffer Cache,SSN = 987-65-.,数据库的安全性与合规性纵深防御,Oracle 高级安全选件ASO网络、磁盘和磁带中的数据都得到保护,透明数据加密 (TDE) 应用不必变化 表空间和列加密 加密的备份 (RMAN) 加密的数据泵输出 加密Oracle Securefiles (LOBS) 内置的密钥管理 透明,自动 硬件安全模块 (HSM) 网络加密 SSL/TLS 本地的
6、无认证要求 强认证 Kerberos, PKI,75000,加密输出到磁盘的备份,网络加密,强认证,数据库的安全性与合规性纵深防御,透明数据加密 TDE总结,不必改变现在应用 无触发器,无视图 最小化的性能影响 内置的密钥管理 无额外的加密和密钥管理的开销;只需关注业务逻辑 简单的 alter table 语句,Oracle E-Business Suite 和 SAP支持TDE,数据库的安全性与合规性纵深防御,透明数据加密TDE列加密的布署方法,识别包含敏感数据的表 Credit Cards, SSN,确认TDE 支持的数据类型? TDE supports most all commonly
7、 used datatypes,确认列不是外键的一部分? Simple Data Dictionary Query,加密已存在的数据或新数据 SQL*Developer GUI or Command line DDL, Alter Table,1,2,3,4,数据库的安全性与合规性纵深防御,理解 Oracle 安全备份OSB,在分布式环境中多平台的 统一备份管理 完整的磁带数据保护: Unix / Linux / Windows / NAS Oracle Database: Oracle9i 至Oracle Database 11g,安全的跨域通信 对分布的备份环境管理服务器提供的集中化的管理
8、 支持超过 200 种SCSI 和 SAN 环境下可动态共 态共享驱动器的磁带设备,数据库的安全性与合规性纵深防御,Oracle 安全备份Secure Backup 集成的磁带备份管理,Oracle Secure Backup 集中的磁带备份管理,文件系统数据,UNIX,Linux,Windows,NAS,磁带,Oracle Databases,与 RMAN的集成,被保护的备份 数据库和文件系统的备份加密 自动的密钥管理 高性能 无须备份(读)已提交的undo 高级的介质管理 在多地点间转移时提供了循环保护 基于策略的磁带备份,数据库的安全性与合规性纵深防御,数据屏蔽(Data Masking
9、)是什么,定义 将客户数据、财务数据或公司保密数据匿名化来创建可以使用的新数据。这些数据保留了原来数据的属性,如宽度、类型及格式。 原因 当开发人员或离岸外包供应商在测试环境中使用保密数据时对这些数据进行保护 当与第三方共享客户数据时不披露个人身份信息,数据库的安全性与合规性纵深防御,主要特性 屏蔽主键时自动进行数据库引用完整性检查 隐式 在数据库中执行 显式 在应用程序中执行 数据屏蔽格式库 屏蔽前查看示例数据 应用程序屏蔽模板 一次定义,多次执行,企业管理器数据屏蔽包,生产,预备,屏蔽,测试,测试,克隆,克隆,数据库的安全性与合规性纵深防御,Agenda,数据库安全的业务驱动因素 Orac
10、le 的数据安全性的发展 加密与数据屏蔽的产品 访问控制层面的产品 监控层面的产品 结合安全审计产品的案例 Q&A,数据库的安全性与合规性纵深防御,Oracle数据库保护Database Vault 减少内部威胁,加强合规性,控制授权用户 限制DBA 访问应用程序数据 实现职责分离 保障数据库整合的安全性 实施数据访问安全策略 控制进行数据访问的人员、时间、地点和方式 基于IP 地址、时间、验证等确定 支持Oracle9iR2 以上版本,Reports,Realms,Multi-Factor Authorization,Separation of Duty,Command Rules,数据库的
11、安全性与合规性纵深防御,Oracle 数据库保护Database Vault 特权用户的控制,Database DBA 浏览HR信息,合规和对内部人员的控制,HR 系统使用人员访问 FIN 数据,从服务整合的层面杜绝风险,DBA,HR App,SELECT * FROM HR.EMP,FIN App,数据库的安全性与合规性纵深防御,Oracle Database Vault内置因子,用户因子 Name Authentication type Session User Proxy Enterprise Identity 网络因子 Machine name Client IP Network Pr
12、otocols 扩展 Define custom factors,数据库因子 Database IP Database Instance Database Hostname Database SID 运行时因子 Language Date Time,数据库的安全性与合规性纵深防御,Oracle 标签安全性Label Security基于标签的访问控制,基于标签授权的用户,保护敏感数据 给表中的行分配数据标签 给应用的用户分配用户标签 使用内置的算法实现对表的透明访问控制 灵活性和用户化 基于策略的架构 增强的选件 权限 可信任的存储过程 完整的 API,数据库的安全性与合规性纵深防御,Agen
13、da,数据库安全的业务驱动因素 Oracle 的数据安全性的发展 加密与数据屏蔽的产品 访问控制层面的产品 监控层面的产品 结合安全审计产品的案例 Q&A,数据库的安全性与合规性纵深防御,数据库安全性评估自动化 数据库参数 数据库配置文件 数据库访问 数据库文件权限 安装之后的检查 跟踪数据库间的“配置偏差” 持续的合规可见性 合规性分数(0-100%) 违规通知 跟踪一定时间段的合规性进展 映射到 COBIT、CIS 和 Oracle 的最佳实践 现成的最佳实践 250 多个策略 支持 Oracle 8i 及更高版本,企业管理器配置包安全配置扫描,数据库的安全性与合规性纵深防御,主机 检测开
14、放的端口 检测不安全的服务 确保 NTFS 文件系统类型 (Windows) 应用服务器 HTTPD 具有最低权限 使用 HTTP/S 应当启用 Apache 日志记录 禁用演示应用程序 禁用默认的标题页面 禁用对未使用目录的访问 禁用目录索引 禁止对某些程序包的访问 禁用 DAD 所有者未使用的程序包 移除未使用的 DAD 配置 支持复杂的口令,数据库服务 启用监听器日志记录 口令保护监听器 不接受默认的监听器名称 确保监听器日志文件有效且为 Oracle 所有 确保监听器主机名与 IP 对应 数据库文件权限 Init.ora 应具有受限的文件权限 $OH/bin 中的文件应归 Oracle
15、 所有 数据文件应归 Oracle 所有 数据库配置文件/配置 默认口令 不允许固定用户链接访问对象 不允许默认表空间设置为 SYSTEM 设置 password_grace_time 限制或禁止对 DBMS_LOB 的访问 设置 password_reuse_max 避免使用 utl_ 参数,企业管理器配置包 250 多条内置策略规则,数据库的安全性与合规性纵深防御,Oracle Total Recall实时的数据库归档,好处: 历史数据的合规性和证据分析 透明的跟踪变化 审计的补充 谁 vs. 什么 使用 “AS OF” flashback SQL很容易的访问历史数据 使用压缩的形式最小化
16、所需空间 防止篡改,select * from product_information AS OF TIMESTAMP 02-MAY-05 12.00 AM where product_id = 3060,数据库的安全性与合规性纵深防御,Audit Vault集中的数据库审计保护谁、何时、何地、做过何事以及如何做,提供数据按计划使用的保证 证明并记录用户的活动 制止用户不恰当的行为 发现异常行为和非法闯入 尽早发现可疑的行为 审计关键事件 访问和修改敏感数据 修改数据库结构 授权用户的活动 帐户/角色的管理,Oracle 数据库 10gR2,监视,策略,报表,安全性,Oracle 数据库 11gR1,Oracle 数据库 10gR1,Oracle 数据库 9iR2,其他数据源、数据库,数据库的安全性与合规性纵深防御,Oracle 数据库中的审计强健的、灵活的、高忠实度的审计,行业中最为先进的 语句 对 schema 对象的 DDL / DML审计 权限 审计使用系统权限的语句 指定用户或组用户 精细粒度审计 基于策略的条件审计 灵活性 审计表和 OS 文件目标 支持XML格式 Wind
